Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.

Threat-Actor des Monats: NullBulge („Hacktivist“-Gruppe)

„NullBulge“ ist eine Gruppe, die in der ersten Jahreshälfte 2024 aufgetaucht ist und behauptet, Künstler weltweit zu schützen, indem sie KI-getriebene Anwendungen und Gaming-Plattformen ins Visier nimmt.

Die Gruppe beruft sich oft auf hacktivistische Gründe, setzt aber ausgeklügelte Malware zum Datendiebstahl und Erpressung ein, was darauf hindeutet, dass sowohl ein finanzieller Anreiz als auch ein ideologisches Motiv besteht. NullBulge ist für ihre kreativen Methoden zur Verbreitung von Malware bekannt und hat es auf die Software-Supply-Chain abgesehen, wofür besonders Plattformen wie GitHub und Hugging Face ausgenutzt werden.

Als Teil ihrer ausgeklügelten Angriffsstrategie kommt Async RAT, Xworm und LockBit Ransomware zum Einsatz. Wie bereits erwähnt, zielen die Angriffe der Gruppe auf KI-gestützte Anwendungen und Spieleplattformen. Aber auch Disney wurde von NullBulge angegriffen, wobei sie sich Zugang zu internen Slack-Daten verschafften.

Bedrohung im Spotlight: Windows-Downgrade-Angriffe (CVE-2024-38202 und CVE-2024-21302)

Downgrade-Angriffe auf Betriebssysteme bestehen darin, dass Software, die vermeintlich aktuell und sicher ist, auf eine ältere und anfällige Version zurückgesetzt wird. So können Angreifer bereits behobene Schwachstellen ausnutzen, um sich weiteren Zugang zu verschaffen und Systeme zu kompromittieren.

Alon Leviev, ein SafeBreach- Analyst, der sich auf die Untersuchung von Downgrade-Angriffen auf Betriebssysteme spezialisiert hat, entdeckte kürzlich eine bisher undokumentierte Möglichkeit, einen Downgrade-Angriff auf Windows-Systeme durchzuführen.

Mithilfe seines Tools „Windows Downdate“, das die Windows-Update-Architektur und Windows Virtualization-Based Security (VBS) ausnutzt, konnte der Analyst völlig unerkennbare, unsichtbare, dauerhafte und nicht rückgängig zu machende Downgrades für kritische Komponenten des Betriebssystems vornehmen. Auf diese Weise gelang es ihm, seine Berechtigungen zu erweitern und Sicherheitsfeatures zu umgehen. Dadurch war der Forscher in der Lage, einen gepatchten Windows-Rechner für Tausende von älteren Sicherheitslücken anfällig zu machen und gepatchte Sicherheitslücken in sogenannte Zero-Day-Schwachstellen zu verwandeln.

Vor der Veröffentlichung der Untersuchung teilte Alon Leviev die Ergebnisse mit Microsoft, wodurch zwei CVE zu dieser Schwachstelle veröffentlicht wurden: CVE-2024-38202 und CVE-2024-21302.

Trotz des potenziellen Risikos ist die Möglichkeit der Ausnutzung dieser Schwachstellen in realen Szenarien komplex, und es sollte erwähnt werden, dass es sich bei dem Tool „Windows Downdate“ um einen Proof-of-Concept (PoC) handelt, welches von einem Analysten mit wohlwollenden Absichten entwickelt wurde. Zudem verringert die verantwortungsvolle Veröffentlichung und die Bemühungen der Hersteller, die Schwachstellen zu beheben, die Wahrscheinlichkeit eines Missbrauchs. Allerdings wies der Forscher darauf hin, dass Microsoft VBS 2015 angekündigt wurde, weshalb diese Angriffsmöglichkeit für Downgrades seit mindestens 9 Jahren bestand.

Downgrade-Angriffe stehen schon seit Jahren im Mittelpunkt des Interesses von Bedrohungsakteuren. Die BlackLotus UEFI Bootkit-Malware, die seit 2022 in Untergrundforen zum Verkauf angeboten wird, ist ein klares Beispiel für das Interesse an dieser Angriffsart und dient als Beispiel für die schwerwiegenden Konsequenzen solcher Angriffe.

KrakenLabs Highlights

Schwachstellen

„0.0.0.0 Day“: Oligo-Forscher haben „0.0.0.0 Day“ entdeckt, eine Webbrowser-Schwachstelle, die MacOS- und Linux-Geräte gefährdet. Die Analysten beobachteten eine Schwachstelle in der Logic von großen Browsern wie Chromium, Firefox oder Safari, die es externen Websites ermöglicht, mit lokal laufender Software zu kommunizieren. Die Schwachstelle besteht seit 2006 und kann im schlimmsten Fall zu RCE-Angriffe (Remote Code Execution) führen. Erfahren Sie mehr →.

CVE-2024-38112: „Void Banshee“ nutzte die Zero-Day-Schwachstelle CVE-2024-38112 aus, die den Zugriff auf und die Ausführung von Dateien im Internet Explorer mit MSHTML ermöglicht. Ziel der Kampagne war es, den Atlantida-Infostealer für den Diebstahl von Informationen und für finanzielle Absichten einzusetzen. Erfahren Sie mehr →.

Underground Activity

Malware: Es wird vermutet, dass die berüchtigte Gruppe „FIN7“ mehrere Aliasnamen in Untergrundforen unterhält, um Malware zu bewerben und zu verkaufen. Dies ist der Fall bei AvNeutralizer, einem Tool, das entwickelt wurde, um Endpoint Detection and Response (EDR)-Systeme zu beeinträchtigen, die bereits von bekannten Ransomware-Gruppen wie Black Basta, LockBit und BlackCat verwendet werden. Erfahren Sie mehr →.

Gesetze und Richtlinien

Ransomware: Der Geheimdienstausschuss des US-Senats hat einen Gesetzesentwurf angekündigt, der neue Maßnahmen gegen Ransomware vorsieht, z. B. die Einstufung von Ransomware-Banden als „ hostile foreign cyber actors“, die Benennung von „ state sponsors of ransomware“ und die Verhängung von Sanktionen gegen solche Staaten. Außerdem soll der Vorschlag den US-Geheimdiensten größere rechtliche Befugnisse einräumen und die Bedrohung durch Ransomware auf die Ebene nationaler nachrichtendienstlicher Priorität heben. Erfahren Sie mehr →.

Neue Bedrohungen

Hacktivismus: „SN_Blackmeta“ hat sich nach einem großen DDoS-Angriff auf Finanzinstitute im Nahen Osten und einem angeblichen Angriff auf Microsoft Azure einen Namen in der Hacktivistenszene gemacht. Die TTP weisen Ähnlichkeiten mit der berüchtigten Gruppe „Anonymous Sudan“ auf. Erfahren Sie mehr →/und mehr →.

Social Engineering: KnowBe4, eine Cybersecurity-Firma, stellte fälschlicherweise einen nordkoreanischen State-Actor als Principal Software Engineer ein. Der Täter nutzte eine gestohlene Identität und ein von KI erstelltes Profil, um die anfänglichen Sicherheitsüberprüfungen zu passieren. Aufgefallen ist er durch den Versuch, einen Infostealer auf den Geräten des Unternehmens zu installieren. Erfahren Sie mehr →.

Updates zum Threat Context-Modul in diesem Monat:

Threat-Actors: NullBulge, Funnull, Brain Cipher, Revolver Rabbit, FSociety, SenSayQ, pryx, Poe, Void Banshee, CloudSorcerer, Trinity, RED CryptoApp, Lynx, SN_Blackmeta, shafo, Scarlet, Fog, GlorySec, ExCobalt, Big Head, Embargo Team

Tools: Rshell, FrostyGoop, Brain Cipher, Fickle, DUSTTRAP, CatB, BugSleep, AvNeutralizer, MoonWalk, Ov3r_Stealer, TrinityLock, COGSCAN, SquidLoader, Checkmarks, HotPage, GCleaner, Noodle RAT, Scarlet Stealer, Lu0Bot, Embargo ransomware

und viele weitere!

Erfahren Sie mehr über Treat Compass von Outpost24

Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.