Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.

Threat-Actor des Monats: UNC5337 (Profitorientiert)

„UNC5337“ ist der Täter, der hinter der Kampagne gegen die Datenbanken von Snowflake-Kunden steht.

UNC5337 nutzt dafür gestohlene Zugangsdaten für die jeweiligen Instanzen, bei denen keine Multi-Faktor-Authentifizierung (MFA) aktiviert war, um große Mengen an Daten aus den einzelnen Datenbanken zu stehlen. Anschließend haben sie die Daten der Opfer in Untergrundforen unter Pseudonymen wie „Spidermandata“ oder „Sp1d3r“ zum Verkauf angeboten sowie andere Benutzer wie „ShinyHunters“ als Zwischenhändler eingesetzt.

Die Analyse von Mandiant ergab, dass einige der von UNC5537 verwendeten Zugangsdaten bereits vor Jahren gestohlen wurden, aber immer noch gültig waren, da sie nicht geändert oder aktualisiert worden waren. Der früheste Nachweis eines Zugriffs in dieser Kampagne wurde auf den 14. April 2024 datiert.

Toolkit von UNC5337

UNC5337 verwendete Zugangsdaten von Snowflake-Kunden, die mithilfe von Infostealer-Malware gestohlen wurden, Varianten der Malware waren unter anderem: Vidar, RisePro, RedLine, Racoon, Lumma und MetaStealer. Darüber hinaus nutzte der Angreifer ein Dienstprogramm namens rapeflake (auch bekannt als FROSTBITE), um die einzelnen Kundeninstanzen bei Snowflake auszuspähen.

Opfer

Zu den möglichen Opfern dieser Kampagne zählen bisher die Santander Bank, Live Nation (TicketMaster), Advance Auto Part, QuoteWizard (LendingTree) und Pure Storage. Derzeit haben Mandiant und Snowflake etwa 165 möglicherweise betroffene Unternehmen benachrichtigt.

Wichtige Cybersecurity-Ereignisse im Juni

3. Juni 2024

Schwachstellen: Sicherheitsforscher haben zwei Proof-of-Concept-Exploits für eine Schwachstelle in Apache HugeGraph veröffentlicht, die Ende April bekannt wurde und einen Schweregrad von 9.8 hat (CVE-2024-27348). Mehr → Exploits (1/2)

5. Juni 2024

Strafverfolgung: Nach der Operation Cronos gegen die Infrastruktur der „LockBit Group“ am 19. Februar hat das FBI bestätigt, dass es über 7.000 LockBit-„Decryption Keys“ gesichert hat, mit denen Opfer kostenlos auf verschlüsselte Daten zugreifen können. Mehr →

5-6. Juni 2024

Incident: Nach den Wahlen zum Europäischen Parlament bestätigte Cloudflare einen Anstieg von DDoS-Angriffen (Distributed Denial of Service) auf verschiedene wahlrelevante Websites und politischen Parteien. Mehr →

7. Juni 2024

Datenpanne: 270 GB interner Daten der New York Times wurden auf 4chan geleakt. Einige Tage später bestätigte das Unternehmen den Diebstahl und gab an, dass im Januar 2024 versehentlich Zugangsinformatione geleakt wurden, die nun genutzt wurden, um Quellcode und Assets von einer externen Code-Hosting-Plattform zu entwenden. Mehr → und mehr →

8. Juni 2024

Incident: „TellYouThePass ransomware group“ begann, CVE-2024-4577, eine kürzlich gepatchte Sicherheitslücke für Remote Code Execution in PHP, auszunutzen, um Webshells zu übertragen und Ransomware auf Zielsystemen auszuführen. Mehr →

12. Juni 2024

Strafverfolgung: Ermittler der ukrainischen Polizei haben die Identität eines Mannes aus Kiew festgestellt, der mit den russischen Gruppen LockBit und „Conti“ zusammenarbeitete und für einige Angriffe in den Niederlanden und Belgien verantwortlich war. Mehr → und mehr →

KrakenLabs Highlights

Neue Gefahren

Angriffe auf Github-Repositories: Germán Fernandez, ein Sicherheitsforscher, warnte vor einer wahrscheinlich seit Februar laufenden Kampagne, bei der ein Angreifer mit dem Namen „Gitlocker“ GitHub-Repositories angreift, deren Daten stiehlt, den Inhalt löscht und die Opfer um eine „Belohnung“ bittet. Die ursprüngliche Kompromittierung wird durch Spam-Rekrutierungs-E-Mails erreicht, die sich an Entwickler richten. Mehr →

Datenschutzbedenken bei „Recall“: Microsoft wird die „Recall“-Funktion im Rahmen eines Testprogramms vorerst einschränken, nachdem das Unternehmen auf Datenschutzrisiken hingewiesen wurde.
Recall ist ein Tool für PCs mit Copilot+, das alles, was Sie auf Ihrem Computer sehen und tun, aufzeichnet und im Gegenzug die einfachere Suche und Wiedergabe von Daten ermöglicht. Mehr →, mehr → und mehr →

Underground Activity

Am 15. Mai schalteten die Behörden das Untergrundforum BreachForums ab; diese Maßnahme dauerte bis zum 28. Mai.
Am 10. Juni gab es erneut Probleme bei dem das Forum drei Tage lang nicht erreichbar war, und einige Telegram-Konten gesperrt wurden. Admin „ShinyHunters“ bestätigte die jüngsten Probleme und ihre Entscheidung, Telegram aufzugeben und die Kontrolle an „Anastasia“ als neuen Eigentümer zu übertragen.

Hacktivismus

Da herkömmliche Hacktivismus-Angriffe wie DDoS oder die Entstellung von Websites oft unbemerkt bleiben, wenden sich Hacktivismus-Gruppen, auch solche mit relativ geringem Fachwissen, zunehmend OT-Systemen zu, da sie dadurch erhebliche Störungen verursachen und so für Aufsehen sorgen können. Mehr →

Malware & Ransomware

Einige der wichtigsten Erkenntnisse von Mandiant zur Ransomware-Aktivität im Jahr 2023:

• Ransomware bleibt eine große Bedrohung für Organisationen und hat im Vergleich zu 2022 in allen Branchen und Regionen zugenommen.
• Angreifer nutzen ihre Zeit und Ressourcen, um bereits vorhandene Ransomware-Stämme zu aktualisieren, anstatt von Grund auf neue Versionen zu entwickeln.
• Die Verbreitung von Ransomware findet eher außerhalb der Arbeitszeiten, am frühen Morgen und innerhalb von 48 Stunden nach dem ersten Zugriff des Angreifers statt.

Mehr →

Updates zum Threat Context-Modul in diesem Monat:

Threat-Actors: Vssrtje, UAC-0020, Zero Zeno, GitCaught, Storm-1679, Doppelganger, phant0m, etc.

Tools: V3B, Ebury, ModeLoader, MeshAgent, AndarLoader, SPECTR, Dora RAT, etc.

Kampagne: APT28 zielt mit der HeadLace-Malware auf zentrale Netzwerke in Europa

und vieles mehr!

Erfahren Sie mehr über Treat Compass von Outpost24

Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.