Rafel RAT zielt mit Ransomware-Angriffen auf veraltete Android-Geräte ab
Die Open-Source-Android-Malware Rafel RAT ist zu einer weit verbreiteten Bedrohung geworden, die in zahlreichen cyberkriminellen Kampagnen auf veraltete Geräte abzielt. Laut Forschern von Check Point haben über 120 Kampagnen Rafel RAT verwendet, wobei einige Ransomware-Angriffe gestartet haben, die Zahlungen über Telegram verlangen. Bekannte Bedrohungsakteure wie APT-C-35 und andere aus dem Iran und Pakistan stecken hinter vielen dieser Kampagnen. Hochkarätige Organisationen, darunter solche aus dem Regierungs- und Militärsektor, wurden ins Visier genommen, insbesondere in den Vereinigten Staaten, China und Indonesien. Die meisten betroffenen Geräte laufen mit Android-Versionen 11 oder älter, die keine Sicherheitsupdates mehr erhalten, was sie anfällig für Exploits macht. Rafel RAT verbreitet sich über betrügerische Apps, die beliebte Plattformen wie Instagram und WhatsApp nachahmen und während der Installation riskante Berechtigungen anfordern. Die Befehle der Malware können Geräte sperren, Daten löschen und Dateien verschlüsseln, was ein erhebliches Risiko für Benutzer mit veralteten Android-Geräten darstellt.
CoinStats-Verstoß betrifft 1.590 Krypto-Wallets, nordkoreanische Hacker vermutet
CoinStats, eine beliebte Kryptowährungs-Portfoliomanagement-App mit 1,5 Millionen Nutzern, erlebte kürzlich eine erhebliche Sicherheitsverletzung, bei der 1.590 gehostete Wallets kompromittiert wurden. Der Angriff, der vermutlich von nordkoreanischen Hackern durchgeführt wurde, zielte auf Benutzer ab, die ihre Wallets auf der CoinStats-Plattform hosteten. Während die Portfolioverwaltungsfunktionen der App, die schreibgeschützten Zugriff auf externe Wallets erfordern, nicht betroffen waren, betraf der Verstoß 1,3 % der von CoinStats gehosteten Wallets. CoinStats hat betroffene Benutzer aufgefordert, sofort Geld auf externe Wallets zu überweisen. Obwohl die Plattform zur Untersuchung und Eindämmung offline bleibt, teilte der CEO von CoinStats Beweise mit, die auf die Beteiligung der nordkoreanischen Lazarus-Gruppe hinweisen, die für umfangreiche Krypto-Raubüberfälle berüchtigt ist. Betrüger haben bereits begonnen, die Situation auszunutzen, indem sie gefälschte Rückerstattungssysteme mit typosquattierten Handles fördern. Benutzern wird empfohlen, diese Betrügereien zu ignorieren, da CoinStats keine Rückerstattungsprogramme angekündigt hat.
Vier FIN9-Hacker wegen Cyberangriffen angeklagt, die zu Verlusten in Höhe von 71 Millionen US-Dollar führten
Vier vietnamesische Staatsangehörige, die mit der berüchtigten Cybercrime-Gruppe FIN9 in Verbindung stehen, wurden wegen ihrer Rolle bei Cyberangriffen angeklagt, die US-Unternehmen Verluste in Höhe von über 71 Millionen US-Dollar bescherten. Die Angeklagten, Ta Van Tai, Nguyen Viet Quoc, Nguyen Trang Xuyen und Nguyen Van Truong, waren von Mai 2018 bis Oktober 2021 an cyberkriminellen Aktivitäten beteiligt und stahlen Daten und Gelder von ihren Zielpersonen. US-Staatsanwalt Philip R. Sellinger betonte, dass die Gruppe Phishing-Kampagnen, Angriffe auf die Lieferkette und andere Hacking-Methoden einsetzt, um ihre Verbrechen auszuführen und gleichzeitig zu versuchen, anonym zu bleiben. Die Anklageschrift hebt hervor, wie FIN9 Drittanbieter ausnutzte und Malware verwendete, um die Netzwerke der Opfer zu infiltrieren und vertrauliche Daten wie Finanzinformationen und Kreditkartendaten zu exfiltrieren. Die gestohlenen Daten wurden dann gegen Kryptowährung verkauft. Den Angeklagten drohen schwere Strafen, darunter möglicherweise jahrzehntelange Haftstrafen und die Einziehung von Vermögenswerten, die sie durch ihre illegalen Aktivitäten erlangt haben.
Neuer Angriff nutzt MSC-Dateien und Windows-XSS-Schwachstellen, um in Netzwerke einzudringen
Eine neue Befehlsausführungstechnik namens „GrimResource“ nutzt speziell gestaltete MSC-Dateien (Microsoft Saved Console) und einen ungepatchten Windows XXS-Fehler (Cross-Site-Scripting), um Code über die Microsoft Management Console (MMC) auszuführen. Nach der Entscheidung von Microsoft im Juli 2022, Makros in Office standardmäßig zu deaktivieren, sind Angreifer dazu übergegangen, verschiedene Dateitypen bei Phishing-Angriffen zu verwenden und schließlich auf MSC-Dateien zu landen.
MSC-Dateien, die in MMC zur Verwaltung von Betriebssystemaspekten verwendet werden, wurden bei diesem neuen Angriff ausgenutzt. Das Elastic-Team, inspiriert von früheren Forschungen von Genian, identifizierte diese Technik mit einem alten, ungepatchten Windows-XSS-Fehler in der „apds.dll“-Bibliothek, um Malware wie Cobalt Strike bereitzustellen. Eine Beispieldatei (’sccm-updater.msc‘), die am 6. Juni 2024 auf VirusTotal hochgeladen wurde, zeigt diese aktive Ausnutzung, die von Antiviren-Engines nicht erkannt wird.
Der GrimResource-Angriff beginnt mit einer bösartigen MSC-Datei, die einen DOM-basierten XSS-Fehler in „apds.dll“ ausnutzt und beliebiges JavaScript über eine präparierte URL ausführt. Obwohl die Schwachstelle im Oktober 2018 gemeldet wurde, bleibt sie in der neuesten Windows 11-Version ungepatcht. Dieser Fehler ermöglicht in Kombination mit der „DotNetToJScript“-Technik die Ausführung von beliebigem .NET-Code unter Umgehung von Sicherheitsmaßnahmen.
Der Angriff verwendet die Verschleierung von „transformNode“, um Warnungen zu umgehen, und rekonstruiert ein VBScript, das eine .NET-Komponente namens „PASTALOADER“ lädt. Diese Komponente ruft eine Cobalt Strike-Nutzlast ab und injiziert sie mithilfe der „DirtyCLR“-Technik und indirekter Systemaufrufe in „dllhost.exe“. Elastic Security hat diese Indikatoren detailliert beschrieben und YARA-Regeln bereitgestellt, um Verteidigern zu helfen, solche verdächtigen MSC-Dateien zu erkennen.
Hacker zielen auf neuen MOVEit Transfer Critical Auth Bypass Bug ab
Hacker nutzen eine neu aufgedeckte kritische Schwachstelle zur Umgehung der Authentifizierung, CVE-2024-5806, aus, die in MOVEit Transfer läuft. Dieser Fehler ermöglicht es Angreifern, die Authentifizierung im SFTP-Modul (Secure File Transfer Protocol) zu umgehen, was den unbefugten Zugriff auf sensible Daten und die Möglichkeit zur Manipulation von Dateien ermöglicht.
Die Ausnutzungsversuche begannen kurz nach Bekanntwerden der Sicherheitslücke. Es wurden etwa 2.700 MOVEit Transfer-Instanzen identifiziert, die dem Internet ausgesetzt waren, hauptsächlich in den USA, Großbritannien, Deutschland, Kanada und den Niederlanden. Die offensive Sicherheitsfirma watchTowr veröffentlichte technische Details und Proof-of-Concept-Exploit-Code und erhöhte damit das Risiko von Angriffen.
Progress hat Patches für betroffene MOVEit Transfer-Versionen veröffentlicht und fordert sofortige Updates. MOVEit Cloud-Kunden sind bereits geschützt. Darüber hinaus wird Administratoren empfohlen, den RDP-Zugriff (Remote Desktop Protocol) zu blockieren und ausgehende Verbindungen einzuschränken, um weitere Risiken zu mindern. Ein weiterer verwandter Fehler, CVE-2024-5805, wirkt sich auf MOVEit Gateway 2024.0.0 aus. Da MOVEit in Unternehmen weit verbreitet ist, ist schnelles Handeln entscheidend, um Sicherheitsverletzungen zu verhindern.
BlackSuit Ransomware-Bande behauptet Angriff auf KADOKAWA Corporation
Die BlackSuit-Ransomware-Bande hat die Verantwortung für einen kürzlichen Cyberangriff auf die KADOKAWA Corporation übernommen und damit gedroht, gestohlene Daten zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden. KADOKAWA, ein bekanntes japanisches Medienkonglomerat, das für seine Tochtergesellschaften wie FromSoftware bekannt ist, berichtete am 8. Juni, dass mehrere Websites aufgrund eines Cyberangriffs, der ihr Rechenzentrum beeinträchtigte, ausgefallen waren.
Dieser Angriff hat den Betrieb des Unternehmens, einschließlich der beliebten Video-Sharing-Plattform Niconico, erheblich gestört. Trotz der Bemühungen, die Dienste wiederherzustellen, bestätigt das jüngste Update von KADOKAWA, dass viele Operationen weiterhin beeinträchtigt sind, wobei die Niconico-Dienste immer noch ausgesetzt sind.
BlackSuit kündigte seine Beteiligung an, indem es KADOKAWA auf seiner Datenleck-Website auflistete und eine kleine Stichprobe der gestohlenen Daten veröffentlichte. Sie drohen, die vollständigen Daten, darunter Kontakte, vertrauliche Dokumente, Mitarbeiterdaten, Geschäftspläne und Finanzinformationen, bis zum 1. Juli zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird.
Die im Mai 2023 gegründete BlackSuit-Ransomware-Gruppe ist eine Umbenennung der Royal-Ransomware-Gang mit Verbindungen zum nicht mehr existierenden Conti-Cybercrime-Syndikat, einem Kollektiv russischer und osteuropäischer Hacker. Das FBI und die CISA hatten BlackSuit zuvor mit Angriffen auf über 350 Organisationen in Verbindung gebracht und über 275 Millionen US-Dollar Lösegeld gefordert. Ihr jüngster Angriff auf CDK Global verursachte erhebliche Störungen bei Autohäusern in ganz Nordamerika.
Ticketmaster sendet Benachrichtigungen über die jüngste massive Datenschutzverletzung
Ticketmaster hat damit begonnen, Kunden zu benachrichtigen, die von einer erheblichen Datenschutzverletzung betroffen sind, bei der Hacker die Snowflake-Datenbank des Unternehmens gestohlen haben, die die Daten von Millionen von Benutzern enthält. Bei dem im Mai 2024 entdeckten Verstoß wurden Kundennamen, Kontaktinformationen und andere persönliche Daten offengelegt.
Die Benachrichtigung über Datenschutzverletzungen, die dem Büro des Generalstaatsanwalts von Maine mitgeteilt wurde, ergab, dass zwischen dem 2. April und dem 18. Mai 2024 ein unbefugter Zugriff erfolgte. Ticketmaster identifizierte den Verstoß am 23. Mai und stellte seit Beginn der Untersuchung keine weiteren unbefugten Aktivitäten fest. Kunden wird empfohlen, wachsam gegen Identitätsdiebstahl und Betrug zu bleiben, wobei Ticketmaster ein Jahr lang kostenlose Identitätsüberwachung anbietet.
Obwohl zunächst angegeben wurde, dass der Verstoß über 1.000 Menschen betraf, betraf er tatsächlich Millionen weltweit und legte sensible Informationen offen. Der Datendiebstahl wurde von dem Bedrohungsakteur ShinyHunters ausgeführt, der behauptete, persönliche und Kreditkartendaten von 560 Millionen Benutzern gestohlen zu haben, indem er kompromittierte Anmeldeinformationen ohne Multi-Faktor-Authentifizierung ausnutzte. Dies zeigt das Ausmaß an sensiblen Daten, die Cyberkriminelle bei Angriffen stehlen können.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.