Chinesische Hacker nutzen Visual Studio Code-Tunnel für dauerhaften Zugriff aus
Bei der Operation Digital Eye nutzten chinesische Hacker Visual Studio Code (VSCode)-Tunnel, um einen dauerhaften Zugriff auf kompromittierte Systeme aufrechtzuerhalten, und zielten dabei auf IT-Dienstleister in Südeuropa ab. Nach dem ersten Zugriff über Einschleusung von SQL-Befehlsetzten sie eine PHP-basierte Webshell ein, gefolgt von Lateral Movement mit Remotedesktopprotokoll (RDP) und eine benutzerdefinierte Version von Mimikatz , um Anmeldeinformationen zu extrahieren. Die Angreifer installierten eine legitime Version von VSCode und konfigurierten sie mit Tunnelparametern, wodurch sie in eine Hintertür verwandelt wurde, während sie aufgrund der von Microsoft signierten ausführbaren Dateien und des Azure-basierten Traffic-Routings nicht erkannt wurde. Die Sicherheitstools konnten diese Aktivität nicht als bösartig kennzeichnen, sodass die Bedrohungsakteure während der Arbeitszeit einen Fernzugriff aufrechterhalten konnten. Die Forscher empfehlen, VSCode-Prozesse genau zu überwachen, die Tunnelnutzung einzuschränken und Windows-Dienste auf verdächtige Bereitstellungen von „code.exe“ zu überprüfen. Darüber hinaus kann die Identifizierung von ungewöhnlichem ausgehendem Datenverkehr zu Domains wie *.devtunnels.ms dazu beitragen, ähnliche Angriffe in Zukunft abzuwehren.
Neuer Cleo-Zero-Day-Exploit führt zu Datendiebstahl-Angriffen
Hacker nutzen aktiv eine Zero-Day-Schwachstelle in den verwalteten Dateiübertragungsprodukten von Cleo aus, darunter LexiCom, VLTrader und Harmony, um Angriffe auf Datendiebstahl zu erleichtern. Die Schwachstelle, eine Umgehung der zuvor gepatchten CVE-2024-50623, ermöglicht uneingeschränkte Datei-Uploads, die zur Remote-Codeausführung führen. Ähnlich wie bei früheren Clop-Ransomware-Angriffen nutzen Bedrohungsakteure den Zero-Day-Angriff aus, um bösartige Dateien in Cleo-Verzeichnisse zu schreiben und PowerShell-Befehle auszulösen, die den Fernzugriff ermöglichen. Die Angreifer stehlen sensible Daten und versuchen, ihre Spuren zu verwischen, indem sie Protokolle und bösartige Dateien löschen. Es gibt Hinweise auf eine Ausbeutung in den Vereinigten Staaten, Kanada und Europa, die sich auf Branchen wie Konsumgüter und Logistik auswirkt. Sicherheitsexperten empfehlen, Cleo-Systeme hinter eine Firewall zu bringen, nach verdächtigen TXT- und XML-Dateien zu suchen und die Autorun-Funktion zu deaktivieren. Da sich ein Patch in der Entwicklung befindet, sind sofortige Maßnahmen zur Risikominderung entscheidend, um weitere Sicherheitsverletzungen zu verhindern und das eskalierende Risiko von Datendiebstahl durch Ransomware-Gruppen zu vermeiden.
Senator Wyden schlägt Gesetzentwurf zur Stärkung der Telekommunikationssicherheit nach Salt-Taifun-Hacks vor
US-Senator Ron Wyden hat den Secure American Communications Act eingeführt, um Schwachstellen zu beheben, die von staatlich geförderten chinesischen Hackern, bekannt als Salt Typhoon, bei den jüngsten Telekommunikationsverletzungen ausgenutzt wurden. Der Gesetzentwurf beauftragt die FCC, verbindliche Cybersicherheitsregeln für Telekommunikationsunternehmen durchzusetzen, die jährliche Systemtests, Patches und Audits durch Dritte vorschreiben, um die Einhaltung von Vorschriften und Korrekturmaßnahmen zu dokumentieren. Wyden kritisierte die bisherige Milde und argumentierte, dass ausländische Hacker in amerikanische Netzwerke eingedrungen seien, weil die Telekommunikation ihre eigenen schwachen Sicherheitsstandards setze. Die seit 2019 aktive Salt Typhoon-Gruppe, die auch als Ghost Emperor oder FamousSparrow bekannt ist, soll monatelang auf große Netzbetreiber wie T-Mobile und Verizon zugegriffen haben. Diese langwierige Sicherheitsverletzung ermöglichte den Datendiebstahl und das Abfangen des Internetverkehrs. Während US-Beamte bestreiten, dass geheime Kommunikation kompromittiert wurde, fordern die FCC und die CISA die Telekommunikationsunternehmen auf, ihre Systeme zu härten und die Amerikaner zu ermutigen, verschlüsselte Messaging-Apps zum Schutz zu verwenden. Wydens Gesetzentwurf zielt darauf ab, diese Sicherheitslücken zu schliessen und die nationale Kommunikationsinfrastruktur zu schützen.
Lynx-Ransomware steckt hinter Cyberangriff auf Electrica-Energieversorger
Die rumänische Nationale Direktion für Cybersicherheit (DNSC) hat die Lynx-Ransomware-Bande als verantwortlich für den jüngsten Einbruch in die Electrica Group identifiziert, einen großen Stromversorger, der über 3,8 Millionen Nutzer in Muntenia und Transsilvanien versorgt. Der Angriff, der mit dem Ransomware-as-a-Service-Modell (RaaS) in Verbindung steht, zielte auf die IT-Systeme von Electrica ab, ließ aber kritische SCADA-Infrastrukturen unberührt. Die Ransomware Lynx, die seit Juli 2024 aktiv ist, hat zahlreiche Opfer gefordert, insbesondere im Energie-, Öl- und Gassektor. Diese Ransomware-Variante scheint Ähnlichkeiten mit dem INC Ransom-Verschlüsselungsprogramm zu haben, einem Malware-Stamm, der in Untergrundforen verkauft wird, was Spekulationen über ein Rebranding aufkommen lässt, um sich der Überprüfung zu entziehen. Das DNSC stellte ein YARA-Skript zur Verfügung, um Organisationen bei der Erkennung von Kompromittierungen zu unterstützen, und riet davor, Lösegeldforderungen zu zahlen. Da Ransomware-Varianten wie Lynx immer ausgefeilter werden, sind Unternehmen in kritischen Branchen aufgefordert, ihre Cybersicherheitsabwehr zu verbessern, um zukünftige RaaS-gesteuerte Angriffe abzuwehren und sensible Infrastrukturen vor Störungen zu schützen.
Russische Cyber-Spione nutzen andere Hacker aus, um die Ukraine ins Visier zu nehmen
Die russische Cyberspionagegruppe Turla, auch bekannt als Secret Blizzard, nutzt die Infrastruktur anderer Bedrohungsakteure, wie z. B. der Betreiber von Amadey-Botnetzen, um Malware einzusetzen, die auf ukrainische Militärsysteme abzielt. Die Verwendung von Malware-as-a-Service (MaaS) wie Amadey durch Turla ermöglicht es dem Unternehmen, einen ersten Zugriff zu erhalten und Aufklärungstools und ihre benutzerdefinierten Malware-Familien wie Tavdig und KazuarV2 fallen zu lassen. Amadey, das zuvor von Partnern der LockBit-Ransomware verwendet wurde, ist ein vielseitiges Malware-Botnet, das zur Bereitstellung von Nutzlasten verwendet wird. In der Kampagne von Turla werden PowerShell-Dropper eingesetzt, die Tavdig laden, eine leichtgewichtige Hintertür für Überwachung und Persistenz. Tavdig erleichtert dann den Einsatz von KazuarV2, einer fortschrittlichen Hintertür, die in der Lage ist, Daten zu exfiltrieren und langfristig zu spionagen. Indem er sich hinter MaaS-Plattformen wie Amadey versteckt, entzieht sich Turla der Entdeckung und sammelt Informationen über militärische Geräte, wie z. B. solche, die mit Starlink verbunden sind. Diese Strategie spiegelt eine sich entwickelnde Zusammenarbeit – oder Entführung – von Tools zwischen russischen Hackergruppen wider, wodurch die Grenzen zwischen Akteuren wie Turla und LockBit-Tochtergesellschaften verschwimmen.
Neue IOCONTROL-Malware zielt auf kritische Infrastruktursysteme ab
Iranische Bedrohungsakteure, die mit der CyberAv3ngers-Gruppe in Verbindung stehen, setzen eine modulare Malware namens IOCONTROL ein, um IoT- und OT/SCADA-Systeme in kritischen Infrastrukturen in Israel und den USA zu kompromittieren. Diese ausgeklügelte Malware betrifft Geräte wie Router, SPS, HMIs, IP-Kameras, Firewalls und Kraftstoffmanagementsysteme, einschließlich solcher von Herstellern wie D-Link, Hikvision, Unitronics und Phoenix Contact. IOCONTROL verwendet fortschrittliche Techniken wie Persistenzskripte, DNS über HTTPS für die heimliche C2-Kommunikation und AES-256-CBC-Verschlüsselung für seine Konfigurationen. Zu den Funktionen gehören Systemaufklärung, Befehlsausführung, Port-Scanning und Selbstlöschung, um der Erkennung zu entgehen. Die Malware verwendet das MQTT-Protokoll über Port 8883 zur Kommunikation und mischt sich in den legitimen IoT-Verkehr ein. Die CyberAv3ngers-Gruppe hat die Verantwortung für Angriffe auf Tankstellen und Wasseraufbereitungsanlagen übernommen, die mit den beobachteten Infektionen übereinstimmen. Sicherheitsforscher betonen die Notwendigkeit einer robusten Überwachung des IoT-Datenverkehrs, der Netzwerkhärtung und der proaktiven Identifizierung von Indicators of Compromise (IoCs), um die Auswirkungen der Malware auf kritische Systeme zu mindern.
Citrix teilt Risikominderungen für laufende Netscaler-Kennwortspray-Angriffe
Citrix Netscaler-Geräte sind jetzt mit weit verbreiteten Password-Spray-Angriffen konfrontiert, die auf Anmeldeinformationen abzielen, um in Unternehmensnetzwerke einzudringen. Diese Angriffe, die von einer Vielzahl dynamischer IP-Adressen ausgehen, überlasten Authentifizierungssysteme und können Leistungsprobleme verursachen, einschließlich potenzieller DDoS-Bedingungen aufgrund übermäßiger Anmeldeanfragen. Die Angriffe nutzen prä-nFactor-Endpunkte, ältere Authentifizierungs-URLs und Brute-Force-Techniken mit generischen Benutzernamen wie „test“, „vpn“ oder „finance“ sowie E-Mail-Mustern und gängigen Vornamen. Citrix hat Gegenmaßnahmen veröffentlicht, die die Verwendung von Multi-Faktor-Authentifizierung (MFA) empfehlen, unnötige Pre-nFactor-Endpunkte blockieren und Responder-Richtlinien so konfigurieren, dass Authentifizierungsanforderungen verworfen werden, es sei denn, sie entsprechen einem angegebenen FQDN. Darüber hinaus schlägt Citrix vor, eine Web Application Firewall (WAF) bereitzustellen, um IPs mit geringer Reputation vor schädlichem Verhalten in der Vergangenheit zu schützen. Kunden, die Gateway Service verwenden, sind zwar nicht betroffen, aber lokale und Cloud-basierte Bereitstellungen müssen diese Updates anwenden, um Systemunterbrechungen zu vermeiden und das Risiko eines DDoS-Szenarios durch Anmeldefluten zu verringern.
Fazit
Zusammenfassend lässt sich sagen, dass die zunehmende Verbreitung von Passwort-Spray-Angriffen unterstreicht, wie wichtig es ist, eine Multi-Faktor-Authentifizierung zu implementieren, Legacy-Endpunkte zu überwachen und die Netzwerkabwehr zu stärken. Unternehmen müssen proaktiv bleiben, um Unterbrechungen zu vermeiden, die durch übermäßige Authentifizierungsanfragen oder potenzielle DDoS-Vorfälle verursacht werden, die auf kritische Infrastrukturen abzielen. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen von einem Ransomware-Angriff betroffen ist, steht Ihnen unser Team zur Verfügung, um Sie bei der Wiederherstellung von Daten und der effizienten Wiederherstellung des Betriebs zu unterstützen.