Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.

Threat-Actor des Monats: Volt Typhoon – Chinese State-Sponsored-Adversary

Aufgrund der zunehmenden geopolitischen Spannungen zwischen China und den USA hat die US-Regierung eine Warnmeldung bezüglich der jüngsten Aktivitäten von Volt Typhoon ausgesprochen. Es wird vermutet, dass diese vom chinesischen Staat gesponserte Spionagegruppe, die seit mindestens 2020 aktiv ist, ihre Taktiken anpasst, um möglicherweise Netzwerke kritischer US-Infrastruktur anzugreifen und zu stören oder gar zu zerstören. Zu den Sektoren, die bereits kompromittiert wurden, gehören Kommunikation, Energie, Transportwesen sowie Wasser- und Abwasserwirtschaft, einige davon seit mindestens 5 Jahren.

Volt Typhoon verfolgt einen akribischen Ansatz, der mit einer umfassenden Aufklärung beginnt. Sie verschaffen sich zunächst über Schwachstellen Zugang, wobei sie es auf die Zugangsdaten von Administratoren abgesehen haben. Danach verbergen Sie sich mit „living-off-the-land“-Taktiken, um einer Entdeckung zu entgehen. Durch den Einsatz unauffälliger Methoden extrahieren sie wichtige Daten für die weitere Exploitation, einschließlich Active Directory-Datenbanken mit Passwörtern zum Offline-Kennwort-Cracking. Mit erweitertem Zugang zielen sie dann auf OT-Assets, was zu erheblichen Störungen der Infrastruktur führen kann.

Aufgrund dieses einzigartigen Vorgehens haben die Behörden auch ein Merkblatt mit Anweisungen für Sicherheitsverantwortliche veröffentlicht, wie man sich vor Volt Typhoon schützen kann.

Gefahr im Fokus: XZ Utils Backdoor – CVE-2024-3094

Am 29. März 2024 entdeckte Andres Freund, ein Entwickler und Ingenieur, der für Microsoft arbeitet, eine Backdoor in XZ Utils, die das XZ Utils liblzma-Paket zur Manipulation der exe für Remote-SSH-Verbindungen nutzt. Die betroffenen Versionen von XZ Utils sind 5.6.0 und 5.6.1, wobei das Ziel des Angreifers darin bestand das schädliche Update in die RedHat- und Debian-Distributionen einzuschleusen. Die Schwachstelle wird unter der Bezeichnung CVE-2024-3094 geführt.

XZ Utils ist ein Programm zur Komprimierung von Daten für Linux und andere Unix-Betriebssysteme. Es handelt sich um ein Open-Source-Projekt, das auf GitHub verfügbar ist und von Lasse Collins betreut wird. Forscher haben berichtet, dass ein Bedrohungsakteur, der auf GitHub als „JiaT75″ bezeichnet wird, seit mindestens 2022 Social-Engineering-Methoden nutzt, um den Projekteigentümer unter Druck zu setzen, damit er die Kontrolle über Uploads und Commits zu XZ Utils erhält. Zu diesem Zweck erstellte der Angreifer entweder gefälschte Benutzeridentitäten in GitHub oder nutzte Beschwerden anderer Benutzer aus , um den Projekteigentümer von XZ Utils zu drängen, eine weitere Person zur Betreuung des Projekts hinzuzufügen, da das Projekt nicht so häufig aktualisiert wurde, wie von den Benutzern erwartet.

Im Januar 2023 konnte der Eigentümer schließlich überredet werden und erteilte dem GitHub-Benutzer „JiaT75“ die Erlaubnis, das XZ-Utils-Projekt zu betreuen. Im Februar 2024 veröffentlichte der Bedrohungsakteur ein bösartiges Update des XZ-Utils-Dienstprogramms, das die Backdoor enthielt.
Diese schädliche Aktion kombinierte technisches Know-how im Unix-Linux-Ökosystem mit bemerkenswerten Social-Engineering-Fähigkeiten. Darüber hinaus nutzte der Angreifer die Schwächen der Open-Source-Philosophie aus, indem er das Vertrauen des Projektinhabers in die Community missbrauchte.

KrakenLabs Highlights

Neue Gefahren

Innovative HTML-Schmuggel-Taktik: Forscher haben beobachtet, dass Angreifer eine neuartige HTML-Smuggling-Taktik anwenden, indem sie unechte Google Docs-Seiten auf Google Sites hosten und CAPTCHA-Tests einbauen, um URL-Scanner zu umgehen. Im Gegensatz zu herkömmlichen Methoden wird bei dieser Methode die Nutzlast von einer separaten kompromittierten Domain abgerufen. Dieses Vorgehen könnte sich zu einer beliebten Methode zur Verbreitung von Malware entwickeln.
Erfahren Sie mehr →

Neue Bedrohung für den Gesundheitssektor: Das US-Gesundheitsministerium hat eine Warnung an Krankenhäuser herausgegeben, in der vor Bedrohungsakteuren gewarnt wird, die mit Social-Engineering-Techniken auf IT-Helpdesks abzielen. Bedrohungsakteure wie „Scattered Spider“ führen Telefonanrufe beim IT-Helpdesk durch und geben sich als Mitarbeiter aus, um die Maßnahmen zur Multifaktor-Authentifizierung (MFA) zu umgehen. Darüber hinaus schlug die Behörde der Gesundheitsbranche einige Maßnahmen zur Risikominderung vor.
Erfahren Sie mehr →

Schwachstellen

CVE-2024-27198 aktiv ausgenutzt: Die kürzlich bekannt gewordenen kritischen Schwachstellen in der JetBrains TeamCity On-Premises-Plattform, insbesondere CVE-2024-27198 (CVSS-Score 9.8), werden bereits für verschiedene Zwecke ausgenutzt, z. B. zur Verbreitung von Ransomware (Jasmin Ransomware), Cryptocurrency-Minern (XMRig), Backdoors (SparkRAT) und anderen.
Erfahren Sie mehr →

N-Day-Schwachstellen ausgenutzt: Die ConnectWise ScreenConnect-Schwachstellen CVE-2024-1709 und CVE-2024-1708 werden immer öfter von Angreifern ausgenutzt, und bereits hunderte nordamerikanischer Unternehmen wurden kompromittiert. UNC5174 , ein chinesischer Akteur, hat die Schwachstelle aktiv ausgenutzt, und Zugang zu über 40 US-Unternehmen wurde in cyberkriminellen Foren angeboten. Erfahren Sie mehr → / und mehr →

Analyse der Zero-Day-Schwachstellen 2023: Google hat 97 Zero-Day-Schwachstellen analysiert, die im Jahr 2023 ausgenutzt wurden. Die Forscher kommen zu dem Schluss, dass sich Angreifer zunehmend auf Komponenten und Bibliotheken von Drittanbietern sowie auf unternehmensspezifische Technologien konzentrieren. Kommerzielle Gruppen nutzen weiterhin Browser- und mobile Zero-Day-Schwachstellen aus. Darüber hinaus ist China weiterhin führend bei der von der Regierung unterstützten Exploitation von Sicherheitslücken.
Erfahren Sie mehr →

NIST NVD-Analyse: In den letzten Monaten hat sich die Analyse neuer Schwachstellen in der NIST National Vulnerability Database verlangsamt. Die Behörde hat eingeräumt, dass das Problem mit der steigenden Zahl der gemeldeten Schwachstellen zusammenhängt und dass bei der Analyse Prioritäten gesetzt werden müssen. NIST hat angekündigt, dass es weitere Maßnahmen zur Lösung dieses Problems prüft.
Erfahren Sie mehr → / und mehr →

Malware & Ransomware

Neuer Wiper, der auf Ukraine gerichtet ist: Es wurde eine neue Variante des destruktiven Wipers AcidRain mit dem Namen AcidPour identifiziert. Dieser Wiper wurde gegen ukrainische ISPs eingesetzt, und der Angriff wurde von Analysten UAC-0165, einer Untergruppe der russischen Gruppe Sandworm, zugeschrieben. Auf Telegram behauptete die russische Persona SolntsepekZ, die möglicherweise von UAC-165 verwendet wird, die Urheberschaft der Angriffe.
Erfahren Sie mehr →

Ungewöhnliche Erpressungstechnik: Die Ransomware-Bande DragonForce wurde mit einer ungewöhnlichen Erpressungstechnik entdeckt: Sie rief das Opfer per Telefon an und zeichnete das Gespräch auf, das schließlich auf ihrer Data Leak Site veröffentlicht wurde, um den Reputationsschaden und den Druck auf das Opfer zu erhöhen.
Mehr erfahren →

Updates zum Threat Context-Modul in diesem Monat:

Threat-Actors: Storm-0651, Breakcore, TA4903, Magnet Goblin, UAC-0006, proper12, Team Insane PK, Cobalt Terrapin, KillSec etc.

Tools: AsukaStealer, TimbreStealer, MiniNerbian, Jasmin, MINIBIKE, MINIBUS, Byakugan, Hitobito ransomware, Latrodectus etc.

und vieles mehr!

Erfahren Sie mehr über Treat Compass von Outpost24

Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.