Gefälschtes Kaseya VSA-Sicherheitsupdate setzt Cobalt Strike außer Kraft

  • Bedrohungsakteure platzieren Cobalt Strike-Backdoors, indem sie ein gefälschtes Microsoft-Update zusammen mit einer SecurityUpdates.exe einschleusen.

    Eine Malware-Spam-Kampagne nutzt die Ransomware-Angriffe gegen die Virtual System/Server Administrator (VSA)-Plattform von Kaseya aus, um einen Link zu verbreiten, der vorgibt, ein Microsoft-Sicherheitsupdate zu sein, zusammen mit einer ausführbaren Datei, die Cobalt Strike einschleust, warnen Forscher.

    Am Dienstagabend twitterte Malwarebytes Threat Intelligence einen Screenshot der mit Fallen versehenen E-Mail, die einen Anhang namens “SecurityUpdates.exe” und eine Nachricht enthielt, in der die Empfänger aufgefordert wurden, “das Update von Microsoft zum Schutz vor Ransomware so schnell wie möglich zu installieren. Damit wird eine Schwachstelle in Kaseya behoben.”

    Eine #Malspam-Kampagne nutzt den Kaseya VSA #Ransomware-Angriff aus, um #CobaltStrike zu verbreiten. Sie enthält einen Anhang namens “SecurityUpdates.exe” sowie einen Link, der vorgibt, ein Sicherheitsupdate von Microsoft zu sein, um die Kaseya-Schwachstelle zu beheben! pic.twitter.com/0nIAOX786i

    – Malwarebytes Threat Intelligence (@MBThreatIntel) July 6, 2021

    Die Angreifer versuchen, dauerhaften Fernzugriff auf die Systeme der anvisierten Opfer zu erlangen, die auf die Masche hereinfallen und die bösartige ausführbare Datei ausführen oder das gefälschte Microsoft-Sicherheitsupdate herunterladen und auf ihren Geräten starten.

    Beispiel einer Phishing-E-Mail. Quelle: Malwarebytes Threat Intelligence.

    Probleme stören den authentischen SaaS-Patch von Kaseya

    Während Kaseya sich beeilt, die Software-as-a-Service (SaaS)-Version seiner von Ransomware befallenen VSA wiederherzustellen, teilte das Unternehmen für IT-Management-Software heute Morgen (Mittwoch) mit, dass sowohl die SaaS-Bereitstellung als auch der Patch für die On-Premises-Version in Schwierigkeiten geraten sind. On-Premises-Kunden sind die Hauptziele der Ransomware-Angriffe.

    Dadurch verzögert sich die Veröffentlichung des Patches für die selbst gehostete Version von VSA, hieß es in einem der regelmäßigen Updates, die das Unternehmen seit der Entdeckung der dreisten Angriffe durch die Ransomware-Bande REvil am Freitag bereitstellt. Die Kampagne führte zur Verschlüsselung der Dateien von rund 60 Kaseya Kunden, die die On-Premises-Version der Plattform nutzen – viele davon sind Managed Service Provider (MSPs), die VSA zur Verwaltung der Netzwerke anderer Unternehmen nutzen.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Heute Morgen, Mittwoch um 8 Uhr EDT, hat Kaseya versprochen, um 12:00 Uhr EDT ein Status-Update zu geben:

    Wie in unserem letzten Update mitgeteilt, wurde leider während der Bereitstellung des VSA-Updates ein Problem entdeckt, das die Freigabe blockiert hat. Wir waren noch nicht in der Lage, das Problem zu beheben. Das F&E- und das Betriebsteam haben die ganze Nacht hindurch gearbeitet und werden weiterarbeiten, bis wir die Blockierung des Releases aufgehoben haben. Wir werden um 12:00PM US EDT ein Status-Update zur Verfügung stellen.

    Cobalt Strike

    Cobalt Strike ist ein legitimes, kommerziell erhältliches Tool, das von Netzwerk-Penetrationstestern verwendet wird. Seine Verwendung durch Cyberkriminelle ist laut den Forschern von Proofpoint in die Höhe geschossen, die kürzlich sagten, dass das Tool nun “in der Crimeware-Welt zum Mainstream geworden ist”.

    Das Ziel seines Einsatzes ist es, einen ersten Zugang zu erhalten und sich seitlich durch ein Netzwerk zu bewegen, um es den Cyberangreifern zu erleichtern, entweder sensible Daten abzugreifen oder Malware-Nutzlasten der zweiten Stufe zu liefern. Laut den Forschern ist diese Methode bei Ransomware-Angreifern sehr beliebt.

    “Interessanterweise wurde bei 66 Prozent aller Ransomware-Angriffe in diesem Quartal das Red-Teaming-Framework Cobalt Strike eingesetzt, was darauf hindeutet, dass Ransomware-Akteure zunehmend auf dieses Tool zurückgreifen, während sie sich von Standard-Trojanern verabschieden”, so das Cisco Talos Incident Response (CTIR)-Team in einem Quartalsbericht vom September.

    Die Forscher von Proofpoint haben inzwischen einen Anstieg von 161 Prozent im Vergleich zum Vorjahr bei der Anzahl der realen Angriffe festgestellt, bei denen Cobalt Strike aufgetaucht ist. Sie haben beobachtet, dass das Tool verwendet wurde, um Zehntausende von Organisationen anzugreifen, sowohl von allgemeinen Malware-Betreibern als auch von Advanced Persistent Threat (APT)-Akteuren.

    Cobalt Strike sendet Beacons aus, um Schwachstellen im Netzwerk zu erkennen. Bei bestimmungsgemäßer Verwendung simuliert es einen Angriff. Bedrohungsakteure haben jedoch herausgefunden, wie sie es gegen Netzwerke einsetzen können, um Daten zu exfiltrieren, Malware auszuliefern und gefälschte Command-and-Control-Profile (C2) zu erstellen, die legitim aussehen und an der Erkennung vorbeigehen.

    Cisco Talos und Proofpoint sind nicht die einzigen Sicherheitsunternehmen, die eine rasante Entwicklung der Umwandlung von Cobalt Strike in ein Angriffstool festgestellt haben. Zwei Monate nach diesem Leck, im Januar, dokumentierten Forscher von Recorded Future einen Anstieg der Nutzung von geknackten oder Testversionen von Cobalt Strike, vor allem durch namhafte APT-Gruppen wie APT41, FIN7, Mustang Panda und Ocean Lotus.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com