Forscher sagen, dass der Passwort-Manager eines Unternehmens von einem Angriff auf die Lieferkette betroffen war

Cyber Security News

Forscher der CSIS Security Group behaupten, dass sie einen Angriff entdeckt haben, der ihrer Meinung nach der nächste große Supply-Chain-Hack sein könnte.

In einem Blog vom 23. April behauptet das Unternehmen, digitale Beweise dafür zu haben, dass das australische Unternehmen ClickStudios irgendwann zwischen dem 20. und 22. April einen Einbruch erlitten hat, der dazu führte, dass der Angreifer ein beschädigtes Update für seinen Passwortmanager Passwordstate einspielte. Dem Blog zufolge enthielt eine Zip-Datei eine Dynamic Link Library mit dem schädlichen Code.

“Der bösartige Code versucht, mit [a URL] zu erreichen, um einen verschlüsselten Code zu erhalten. Sobald er entschlüsselt ist, wird der Code direkt im Speicher ausgeführt”, schreiben die Forscher.

Die zugehörige Malware mit dem Namen Moserpass – der im Dateinamen einer von den Forschern gefundenen bösartigen dll enthalten war – rief einen Command-and-Control-Server auf, um die nächste Stufe des Angriffs auszuführen. Dieser Server fiel jedoch aus, bevor die CSIS Security Group die Malware der zweiten Stufe, die möglicherweise für Folgeoperationen verwendet wurde, erfassen und untersuchen konnte.

Eine anschließende Analyse von Juan Andres Guerrero-Saade, einem leitenden Sicherheitsanalysten bei SentinelOne, ergab, dass die von den Angreifern hinzugefügten Codezeilen trivial und kaum zu übersehen waren und insgesamt nur 4 Kilobyte Daten umfassten.

“Auf den ersten Blick hat der Loader die Funktionalität, eine Next Stage Payload aus dem [command and control server], schrieb Guerrero-Saade auf Twitter. “Es gibt auch Code, um die globalen Einstellungen des ‘PasswordState’-Datenspeichers zu analysieren (Proxy UserName/Password, etc.).

Die Forscher wissen nicht, wie viele Benutzer von Passwordstate das Update heruntergeladen haben könnten, und ClickStudios konnte zum Zeitpunkt der Veröffentlichung nicht für einen Kommentar per Telefon oder E-Mail erreicht werden. Das Unternehmen nennt auf seiner Website aus Sicherheitsgründen keine konkreten Kunden, gibt aber an, über 29.000 Kunden und 370.000 Sicherheits- und IT-Experten in verschiedenen Ländern und Branchen weltweit zu betreuen. Das Unternehmen weist auch darauf hin, dass Passwordstate von Einzelpersonen und Unternehmen verwendet werden kann, um auf “sensible Passwort-Ressourcen” zuzugreifen und diese zu teilen.

“Bei Click Studios nehmen wir die Privatsphäre unserer Kunden sehr ernst. Viele haben den Wunsch geäußert, ihre Privatsphäre zu wahren, so dass sie Passwordstate zum Schutz ihrer Anmeldedaten gewählt haben”, heißt es in einem Disclaimer auf der Kundenseite des Unternehmens. “So gerne wir auch alle unsere Kunden auf unserer Website anpreisen würden, hoffen wir, dass Sie Verständnis dafür haben, dass wir ihre Wünsche respektieren und diese Informationen privat und vertraulich behandeln.”

Wenn Kunden kompromittiert wurden, folgt dies einer Welle von anderen schädlichen Software-Lieferketten-Hacks, die in den letzten vier Monaten entdeckt wurden. SolarWinds, Microsoft Exchange, Accellion und Codecov meldeten allesamt Einbrüche durch Hackergruppen, die es offenbar gezielt auf sie abgesehen hatten, um nachgelagerte Kunden zu kompromittieren.

Während solche Hacks immer häufiger vorkommen und Hunderte oder sogar Tausende von Kunden einer potenziellen Kompromittierung aussetzen können, kann viel davon abhängen, wie das betroffene Unternehmen oder die Partner in der Lieferkette ihre eigene interne Netzwerkabwehr einrichten. Einige, wie die SolarWinds-Kampagne, haben weitreichenden Schaden angerichtet, aber es wurde auch festgestellt, dass nur ein Bruchteil der Tausenden von Unternehmen, die beschädigte Versionen der Orion-Software heruntergeladen haben, kompromittiert wurde.

Die CSIS-Forscher fanden mindestens zwei Malware-Samples, die zur Entwicklung von Indikatoren für eine Kompromittierung verwendet wurden, und sagen, dass sie erwarten, in den kommenden Wochen weitere Varianten zu finden, die an verschiedene Command-and-Control-Server gesendet werden. SC Media hat sich mit dem Unternehmen in Verbindung gesetzt, um mehr Details über den Angriff und die Auswirkungen auf die Kunden zu erfahren.

Dies ist eine sich entwickelnde Geschichte. Schauen Sie für Updates zurück.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com