Posts by Cyber News

    Microsoft hat am Wochenende eine Lösung für ein Problem veröffentlicht, das dazu führte, dass E-Mail-Nachrichten auf seinen Exchange Server-Plattformen aufgrund eines Datumsvalidierungsfehlers um den Jahreswechsel herum stecken blieben.

    “Das Problem bezieht sich auf einen Fehler bei der Datumsüberprüfung zum Jahreswechsel und es [is] nicht um einen Fehler des [antivirus] Engine selbst”, so das Unternehmen in einem Blogeintrag. “Es handelt sich nicht um ein Problem bei der Malware-Suche oder der Malware-Engine, und es ist auch kein sicherheitsrelevantes Problem. Die Versionsprüfung, die anhand der Signaturdatei durchgeführt wird, führt zum Absturz der Malware-Engine, was dazu führt, dass die Nachrichten in den Transportwarteschlangen stecken bleiben.

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Der Windows-Hersteller sagte, dass das Problem die lokalen Versionen von Exchange Server 2016 und Exchange Server 2019 betrifft, gab aber nicht an, wie weit verbreitet die Auswirkungen sind.

    Das Problem begann, Aufmerksamkeit zu erregen, als das Jahr 2022 begann, was dazu führte, dass die Server keine E-Mail-Nachrichten mehr zustellten und die folgende Fehlermeldung ausgaben: “Die FIP-FS ‘Microsoft’ Scan Engine konnte nicht geladen werden. PID: 23092, Fehlercode: 0x80004005. Fehlerbeschreibung: Can’t convert’ 2201010001′ to long.”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhXNzXC5YYS-xpuEuUIZVkF4ABo9JmIvEcMiQ1pmotmmy8DfNKCFzmZTfPEG5ViAEgb0V2Dn7uBq4fH66rUX7bIvh4P6Hpj2sO4GoIfTuYGHjZ7XBswRMjwxFzKYoSqlyNWi91we3jO8RnwH4PBeJPKDySs0N_B88gPrDgdOOQyOOeo-e3skN1I5tn0=s728-e1000]

    Microsoft wies darauf hin, dass das Problem auf ein Datumsproblem in einer Signaturdatei zurückzuführen ist, die von der Malware-Scan-Engine in Exchange Server verwendet wird.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Um das Jahr-2000-Problem zu entschärfen, empfiehlt Microsoft seinen Kunden, ein PowerShell-basiertes Skript zum Zurücksetzen der Scan-Engine mit der Bezeichnung “Reset-ScanEngineVersion.ps1” herunterzuladen, das dann auf jedem Exchange-Postfachserver ausgeführt werden kann, der für das Herunterladen von Antimalware-Updates verwendet wird. Es ist erwähnenswert, dass das Update auch die Version der Engine auf 2112330001 ändert.

    “Die neu aktualisierte Scan-Engine wird von Microsoft vollständig unterstützt”, so das Unternehmen. “Während wir längerfristig an dieser Sequenz arbeiten müssen, wurde die Version der Scan-Engine nicht zurück-, sondern in diese neue Sequenz vorgerollt. Die Scan-Engine wird in dieser neuen Sequenz weiterhin Updates erhalten.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Erwarten Sie im Jahr 2022 viel mehr Zero-Day-Exploits und eine deutlich höhere Anzahl von Cyberangriffen, die diese nutzen, warnt Aamir Lakhani, Forscher bei FortiGuard Labs.

    Auf dem Weg ins Jahr 2022 verstärken bösartige Akteure ihre Aufklärungsbemühungen, um erfolgreichere und wirkungsvollere Cyberangriffe zu gewährleisten. Und das bedeutet, dass mehr Zero-Day-Exploits am Horizont auftauchen werden.

    Betrachtet man eine Angriffskette wie das MITRE ATT&CK-Framework, werden Kampagnen häufig in Form von linken und rechten Phasen der Bedrohung diskutiert. Auf der linken Seite der Angriffskette befinden sich die Bemühungen im Vorfeld eines Angriffs, zu denen Planung, Entwicklung und Bewaffnungsstrategien gehören. Die bekanntere Ausführungsphase von Angriffen befindet sich auf der rechten Seite, z. B. das Erstellen und Starten von Malware, um Systeme zu beschädigen, Daten zu stehlen oder Netzwerke als Geiseln zu nehmen.

    Wir müssen anfangen, der linken Seite mehr Aufmerksamkeit zu schenken.

    Erhöhung des Zeit- und Arbeitsaufwands für die Aufklärung

    Wie bereits erwähnt, geht es bei Angriffen auf der linken Seite um Dinge wie die Erlangung des Erstzugangs, die Durchführung von Erkundungen und die Bewaffnung von Schwachstellen. Das Erkennen und Stoppen von Cyberangreifern, die sich näher an der linken Seite des MITRE ATT&CK-Frameworks befinden, könnte ihre Bemühungen in vielen Fällen weniger effektiv machen und den Verteidigern des blauen Teams mehrere Möglichkeiten geben, eine Bedrohungskampagne zu entschärfen.

    Da ein Großteil ihrer Arbeit vor einem Angriff stattfindet, verbringen fortgeschrittene, hartnäckige Bedrohungen (APTs) viel Zeit auf der linken Seite. Zu ihren Aktivitäten gehört es, ein anfälliges Netzwerk zu identifizieren, sich unbefugten Zugang zu verschaffen und über einen längeren Zeitraum unentdeckt zu bleiben. APTs sind in der Regel mit ruchlosen Organisationen verbündet, die über umfangreiche Ressourcen verfügen, wie z. B. staatlich geförderte Akteure oder Nationalstaaten direkt.

    Es ist zu erwarten, dass auch finanziell motivierte Cyberkriminelle verstärkt “linke” Aktivitäten verfolgen werden, da die Zahl der Vorfälle steigt und mehr Banden um einen Teil des Gewinns konkurrieren. Wie die von den Staaten finanzierten APT-Gruppen werden auch sie mehr Zeit und Mühe in die Aufklärung und die Entdeckung von Zero-Day-Fähigkeiten investieren, um ihre Bemühungen zu unterstützen.

    Cyberkriminelle wissen, dass ein höherer Zeitaufwand für die Aufklärung im Vorfeld eines Angriffs die Erfolgsaussichten ihrer Angriffskampagnen erhöht. In vielen Fällen können sie dieselben Techniken in der Aufklärungsphase gegen mehrere Organisationen wiederverwenden. Obwohl sie also im Vorfeld mehr Aufwand betreiben, erhöhen sie ihre Erfolgschancen und machen ihre Angriffe modularer.

    Mehr Ransomware-Angriffe, mehr Zerstörung

    Es werden nicht nur mehr Schwachstellen entdeckt, sondern auch die Angriffe, die diese Schwachstellen ausnutzen, werden für andere Angreifer leichter verfügbar und in andere Angriffspakete integriert. Das Wachstum von Malware-as-a-Service wird natürlich mit der Zunahme neuer Schwachstellen zusammenfallen.

    Es werden also nicht nur mehr Zero-Day-Schwachstellen entdeckt und ausgenutzt, sondern diese Angriffe werden aufgrund des Multiplikatoreffekts, der dadurch entsteht, dass viele Cyberkriminelle gleichzeitig Angriffe starten, auch wesentlich häufiger durchgeführt.

    Böswillige Akteure werden in der Lage sein, Angriffe mit größerer Häufigkeit zu starten, und die Zerstörungskraft dieser Angriffe wird ebenfalls zunehmen. In den 12 Monaten zwischen Juli 2020 und Juni 2021 haben die Forscher von FortiGuard Labs eine fast 11-fache Zunahme von Ransomware festgestellt. Ransomware wird weiterhin im Mittelpunkt der Landschaft stehen, und die Ausbreitung von Crimeware wird sich fortsetzen.

    Ransomware-Angreifer kombinieren bereits Verschlüsselung mit Distributed-Denial-of-Service (DDoS), in der Hoffnung, IT-Teams zu überwältigen, so dass sie in letzter Sekunde keine Maßnahmen ergreifen können, um den Schaden eines Angriffs zu mindern. Wenn dann noch die “tickende Zeitbombe” Wiper-Malware hinzukommt, die nicht nur Daten zerstören, sondern auch Systeme und Hardware vernichten kann, wird es für Unternehmen noch dringlicher, schnell zu zahlen. Wiper-Malware hat bereits ein sichtbares Comeback erlebt, zum Beispiel bei den Olympischen Spielen in Tokio.

    In Anbetracht der Konvergenz zwischen finanziellen Cyberangriffsmethoden und APT-Taktiken ist es nur eine Frage der Zeit, bis Ransomware-Toolkits um zerstörerische Fähigkeiten wie Wiper-Malware erweitert werden. Dies könnte ein Problem für kritische Infrastrukturen, Lieferketten und neu entstehende Edge-Umgebungen darstellen.

    Maßnahmen ergreifen, bevor es zu spät ist

    Unternehmen müssen sich darüber im Klaren sein, dass die Wahrscheinlichkeit und das Volumen von Angriffen durch die Zunahme neuer, mit fortschrittlichen Technologien ausgestatteter Cyberkrimineller zunehmen wird. Standardtools müssen skalierbar sein, um dem potenziellen Anstieg des Angriffsvolumens begegnen zu können. Diese Tools müssen auch mit künstlicher Intelligenz (KI) erweitert werden, um Angriffsmuster zu erkennen und Bedrohungen in Echtzeit zu stoppen.

    Zu den kritischen Tools sollten Anti-Malware-Engines mit KI-Erkennungssignaturen, Endpunkt-Erkennung und -Reaktion (EDR), fortschrittliche Intrusion-Prevention-Systeme (IPS), mit MITRE ATT&CK-Mappings ergänzte Sandbox-Lösungen und Next-Gen-Firewalls (NGFWs) gehören. Im besten Fall werden diese Tools konsistent im gesamten verteilten Netzwerk (Rechenzentrum, Campus, Zweigstelle, Multi-Cloud, Home-Office, Endpunkt) unter Verwendung einer integrierten Sicherheitsplattform eingesetzt, die Bedrohungen als einheitliche Lösung erkennen, gemeinsam nutzen, korrelieren und darauf reagieren kann.

    Jetzt vorbereiten

    Cyberkriminelle sind opportunistisch, und sie werden auch immer raffinierter. Wir beobachten, dass sie mehr Zeit auf die Aufklärung von Cyberangriffen verwenden. Sie nutzen Angriffe von der linken Seite, um die Angriffe von der rechten Seite effektiver zu machen. Das bedeutet, dass die Ransomware-Angriffe zerstörerischer – und damit lukrativer – sind. Es bedeutet auch häufigere Angriffe, manchmal begleitet von DDoS-Angriffen, die die IT-Sicherheitsteams überfordern. Und Wiper-Malware ist ein weiterer Albtraum, auf den sich diese Teams einstellen müssen.

    Unternehmen benötigen heute eine intelligente, ganzheitliche und skalierbare Sicherheitsstrategie, um diese fortschrittlichen Angriffsarten abzuwehren. Sichtbarkeit und Kommunikation im gesamten Netzwerk sind entscheidend, da sie eine sofortige und koordinierte Reaktion ermöglichen. Das ist die Verteidigungsstufe, die Unternehmen heute brauchen – und wir meinen heute, nicht zu einem vagen Zeitpunkt in der Zukunft. Sammeln und integrieren Sie Ihre Tools jetzt, um sicherzustellen, dass Ihr Netzwerk dem kommenden Sturm standhalten kann.

    Aamir Lakhani ist Cybersicherheitsforscher und -praktiker bei FortiGuard Labs.

    Weitere Erkenntnisse der Infosec Insiders-Community von Threatpost finden Sie auf unserer Microsite.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Expect many more zero-day exploits in 2022, and cyberattacks using them being launched at a significantly higher rate, warns Aamir Lakhani, researcher at FortiGuard Labs.

    As we move into 2022, bad actors are ramping up their reconnaissance efforts to ensure more successful and more impactful cyberattacks. And that means more zero-day exploits are on the horizon.

    When seen through an attack chain such as the MITRE ATT&CK framework, campaigns are frequently discussed in terms of left-hand and right-hand phases of threats. On the left side of the attack chain are pre-attack efforts, which includes planning, development and weaponization strategies. The more familiar execution phase of attacks is on the right side, such as building and launching malware to corrupt systems, steal data or hold networks hostage.

    We need to start paying more attention to the left-hand side.

    Increasing the Time & Effort Spent on Recon

    As just noted, left-side attacks are things like gaining initial access, performing reconnaissance and the weaponization of vulnerabilities. Recognizing and stopping cyberattackers closer to the left side of the MITRE ATT&CK framework in many cases could make their efforts less effective, and give blue-team defenders multiple opportunities to mitigate a threat campaign.

    Because much of their work happens before an attack, advanced persistent threats (APTs) spend much time on the left. Their activities include identifying a vulnerable network, gaining unauthorized access and remaining undetected for an extended period. APTs are typically allied with nefarious organizations that have abundant resources, such as state-sponsored actors or nation-states directly.

    Expect to see a greater emphasis on “left-hand” activities from financially motivated cybercriminals too, as incident volumes rise and more gangs compete for a slice of the profits. Like nation-state-funded APT groups, these efforts will include spending more time and effort on reconnaissance and discovering zero-day capabilities, to further their efforts.

    Cybercriminals understand spending more time in pre-attack reconnaissance means a greater chance of success when they launch their attack campaigns. In many situations, they can reuse the same techniques in their recon phase against multiple organizations, so although they’re putting more effort upfront, they increase their chance of success and make their attacks more modular.

    More Ransomware Attacks, More Destruction

    Not only will more vulnerabilities be discovered, but the attacks that exploit them will become more readily available to other attackers and incorporated into other attack kits. The growth of malware-as-a-service will naturally converge with the rise in new vulnerabilities.

    So, not only will bad actors discover and weaponize more zero-day vulnerabilities, but those exploits will also be launched at a significantly higher rate due to the multiplicative effect of many cybercriminal affiliates simultaneously launching attacks.

    Bad actors will be able to launch attack types with greater frequency, and the destructiveness of those attacks will increase, as well. As it stands, FortiGuard Labs researchers found an almost 11x increase in ransomware in the 12 months between July 2020 and June 2021. Ransomware will remain a centerpiece of the landscape, and the expansion of crimeware will continue.

    Ransomware attackers already combine encryption with distributed denial-of-service (DDoS), hoping to overwhelm IT teams so they cannot take last-second actions to mitigate an attack’s damage. Adding a “ticking time bomb” of wiper malware, which could not only wreck data but destroy systems and hardware, creates additional urgency for companies to pay up quickly. Wiper malware has already made a visible comeback, targeting the Olympic Games in Tokyo, for example.

    Given the level of convergence seen between financial cyberattack methods and APT tactics, it’s just a matter of time before destructive capabilities like wiper malware are added to ransomware toolkits. This could be a concern for critical infrastructure, supply chains and emerging edge environments.

    Taking Action Before It’s Too Late

    Enterprises need to be aware that an increase in new cybercriminals armed with advanced technologies will increase the likelihood and volume of attacks. Standard tools must be able to scale to address potential increases in attack volumes. These tools also need to be enhanced with artificial intelligence (AI) to detect attack patterns and stop threats in real time.

    Critical tools should include anti-malware engines using AI detection signatures, endpoint detection and response (EDR), advanced intrusion prevention system (IPS) detection, sandbox solutions augmented with MITRE ATT&CK mappings and next-gen firewalls (NGFWs). In the best-case scenario, these tools are deployed consistently across the distributed network (data center, campus, branch, multi-cloud, home office, endpoint) using an integrated security platform that can detect, share, correlate and respond to threats as a unified solution.

    Prepare Now

    Cybercriminals are opportunistic, and they’re also growing increasingly crafty. We’re now seeing them spend more time on the reconnaissance side of cyberattacks. They’re using left-side attacks to make the right-side attacks more effective. That means more destructive – and therefore more lucrative – ransomware attacks. It also means more frequent attacks, sometimes accompanied by DDoS hits to overwhelm IT security teams. And wiper malware is another nightmare these teams must prepare to contend with.

    Organizations today need an intelligent, holistic and scalable security strategy to defeat these advanced attack types. Visibility and communication across the network are crucial because they enable an immediate and coordinated response. This is the level of defense enterprises need today – and we mean today, not at some vague point down the road. Gather and integrate your tools now to ensure your network can withstand the coming storm.

    Aamir Lakhani is cybersecurity researcher and practitioner at FortiGuard Labs.

    Enjoy additional insights from Threatpost’s Infosec Insiders community by visiting our microsite.

    Forscher von CrowdStrike haben einen Versuch der Bedrohungsgruppe vereitelt, Industrie- und Militärgeheimnisse aus einer akademischen Einrichtung zu stehlen.

    Cyberkriminelle, die unter dem Namen Aquatic Panda auftreten, sind die jüngste Advanced Persistent Threat Group (APT), die die Log4Shell-Schwachstelle ausnutzt.

    Forscher von CrowdStrike Falcon OverWatch haben kürzlich die Bedrohungsakteure gestört, die Log4Shell-Exploit-Tools auf einer verwundbaren VMware-Installation während eines Angriffs auf eine große, nicht genannte akademische Einrichtung verwendeten, so die am Mittwoch veröffentlichten Forschungsergebnisse.

    “Aquatic Panda ist ein in China ansässiges [APT] mit einer doppelten Aufgabe, nämlich der Sammlung von Informationen und der Industriespionage”, schrieb Benjamin Wiley, der Autor des CrowdStrike-Berichts.

    Wiley sagte, dass die Forscher die verdächtigen Aktivitäten im Zusammenhang mit der Infrastruktur des Ziels aufdeckten. “Dies veranlasste OverWatch dazu, während des Routinebetriebs nach ungewöhnlichen untergeordneten Prozessen zu suchen, die mit dem Webserverdienst VMware Horizon Tomcat verbunden sind”, schrieb er.

    OverWatch benachrichtigte das Unternehmen schnell über die Aktivitäten, so dass das Zielunternehmen “mit seinem Incident-Response-Protokoll beginnen konnte”, so die Forscher.

    CrowdStrike und andere Sicherheitsfirmen haben verdächtige Aktivitäten im Zusammenhang mit einer Sicherheitslücke beobachtet, die als CVE-2021-44228 bezeichnet wird und umgangssprachlich als Log4Shell bekannt ist. Diese Sicherheitslücke wurde Anfang Dezember in der Protokollierungsbibliothek Apache Log4j gefunden und sofort von Angreifern genutzt.

    Immer größer werdende Angriffsfläche

    Aufgrund ihrer allgegenwärtigen Verwendung sind viele gängige Infrastrukturprodukte von Microsoft, Apple, Twitter, CloudFlare und anderen für Log4Shell-Angriffe anfällig. Kürzlich hat auch VMware eine Anleitung herausgegeben, dass einige Komponenten seines Horizon-Dienstes für Log4j-Exploits anfällig sind, was OverWatch dazu veranlasst hat, den VMware Horizon Tomcat-Webserverdienst zu seiner Liste der zu überwachenden Prozesse hinzuzufügen, so die Forscher.

    Das Falcon OverWatch-Team bemerkte den Aquatic Panda-Eindringling, als der Bedrohungsakteur mehrere Konnektivitätsprüfungen über DNS-Lookups für eine Subdomain unter dns[.]1433[.]eu[.]org, ausgeführt unter dem Apache Tomcat-Dienst, der auf der VMware Horizon-Instanz läuft, schreiben sie in dem Beitrag.

    “Der Bedrohungsakteur führte dann eine Reihe von Linux-Befehlen aus, einschließlich des Versuchs, eine interaktive Shell auf Bash-Basis mit einer fest kodierten IP-Adresse sowie die Befehle curl und wget auszuführen, um Tools des Bedrohungsakteurs abzurufen, die auf einer entfernten Infrastruktur gehostet werden”, schreiben die Forscher.

    Die Befehle wurden auf einem Windows-Host unter dem Apache Tomcat-Dienst ausgeführt, so die Forscher. Sie untersuchten die anfängliche Aktivität und schickten sofort eine kritische Erkennung an die Opferorganisation, die später weitere Details direkt mit ihrem Sicherheitsteam teilte, so die Forscher.

    Schließlich stellten die Forscher fest, dass eine modifizierte Version des Log4j-Exploits wahrscheinlich im Verlauf der Operationen des Bedrohungsakteurs verwendet wurde und dass die bei dem Angriff verwendete Infrastruktur mit Aquatic Panda in Verbindung steht, sagten sie.

    Nachverfolgung des Angriffs

    Die Forscher von OverWatch verfolgten die Aktivitäten des Bedrohungsakteurs während des Eindringens genau, um die akademische Einrichtung mit kontinuierlichen Updates zu versorgen, während sich die Sicherheitsadministratoren bemühten, den Angriff zu entschärfen, sagten sie.

    Aquatic Panda erkundete den Host mit Hilfe nativer Betriebssystem-Binärdateien, um die aktuellen Berechtigungsstufen sowie System- und Domänendetails zu verstehen. Die Forscher beobachteten auch, wie die Gruppe versuchte, einen EDR-Dienst (Endpoint Detection and Response) eines Drittanbieters zu entdecken und zu stoppen.

    Die Bedrohungsakteure luden weitere Skripte herunter und führten dann einen Base64-kodierten Befehl über PowerShell aus, um Malware aus ihrem Toolkit abzurufen. Außerdem riefen sie drei Dateien mit VBS-Dateierweiterungen von der Remote-Infrastruktur ab, die sie anschließend entschlüsselten.

    “Auf der Grundlage der verfügbaren Telemetriedaten geht OverWatch davon aus, dass es sich bei diesen Dateien wahrscheinlich um eine Reverse Shell handelt, die über DLL-Suchreihenfolge-Hijacking in den Speicher geladen wurde”, schreiben die Forscher.

    Aquatic Panda unternahm schließlich mehrere Versuche, Anmeldeinformationen abzugreifen, indem er den Speicher des LSASS-Prozesses mit Hilfe der “living-off-the-land”-Binärdateien rdrleakdiag.exe und cdump.exe, einer umbenannten Kopie von createdump.exe, auslagerte.

    “Der Akteur der Bedrohung verwendete winRAR, um den Speicherauszug zu komprimieren und so die Exfiltration vorzubereiten, bevor er versuchte, seine Spuren zu verwischen, indem er alle ausführbaren Dateien aus den Verzeichnissen ProgramData und Windowstemp löschte”, schreiben die Forscher.

    Die Opferorganisation hat die verwundbare Anwendung schließlich gepatcht, was weitere Aktionen von Aquatic Panda auf dem Host verhindert und den Angriff gestoppt hat, so die Forscher.

    Neues Jahr, gleiches Exploit

    Da sich das Jahr 2021 dem Ende zuneigt, ist es wahrscheinlich, dass Log4Shell und Exploits, die so entwickelt wurden, dass Angreifer sie für schändliche Aktivitäten nutzen können, auch im neuen Jahr ihre Wirkung nicht verfehlen werden.

    “Die weltweite Diskussion um Log4j war intensiv und hat viele Unternehmen verunsichert”, schreiben die OverWatch-Forscher. “Keine Organisation möchte von einer solch potenziell zerstörerischen Schwachstelle in ihren Netzwerken hören.”

    In der Tat hat die Schwachstelle seit ihrer Entdeckung Anfang des Monats bereits für erhebliches Kopfzerbrechen bei Unternehmen und Sicherheitsforschern gleichermaßen gesorgt. Angreifer stürzten sich sofort auf Log4Shell und brachten innerhalb von 24 Stunden nach Bekanntwerden der Schwachstelle 60 Varianten des ursprünglichen Exploits in Umlauf. Obwohl Apache schnell einen Patch für die Schwachstelle bereitstellte, erwies sich auch dieser als problematisch, da er eine eigene Schwachstelle schuf.

    Darüber hinaus ist Aquatic Panda nicht die erste organisierte Cybercrime-Gruppe, die die Gelegenheit zur Ausnutzung von Log4Shell erkannt hat, und wahrscheinlich wird es auch nicht die letzte sein. Am 20. Dezember wurde die in Russland ansässige Conti-Ransomware-Bande, die für ihre Raffinesse und Skrupellosigkeit bekannt ist, zur ersten professionellen Crimeware-Gruppe, die die Log4Shell-Schwachstelle mit der Erstellung einer ganzheitlichen Angriffskette übernommen und als Waffe eingesetzt hat.

    CrowdStrike rät Unternehmen dringend, sich über die neuesten Abhilfemaßnahmen zu informieren, die für Log4Shell und die allgemeinen Log4j-Schwachstellen verfügbar sind, während sich die Situation weiterentwickelt.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Researchers from CrowdStrike disrupted an attempt by the threat group to steal industrial intelligence and military secrets from an academic institution.

    Cyber criminals, under the moniker Aquatic Panda, are the latest advanced persistent threat group (APT) to exploit the Log4Shell vulnerability.

    Researchers from CrowdStrike Falcon OverWatch recently disrupted the threat actors using Log4Shell exploit tools on a vulnerable VMware installation during an attack that involved of a large undisclosed academic institution, according to research released Wednesday.

    “Aquatic Panda is a China-based [APT] with a dual mission of intelligence collection and industrial espionage,” wrote Benjamin Wiley, the author of the CrowdStrike report.

    Wiley said researchers uncovered the suspicious activity tied to the target’s infrastructure. “This led OverWatch to hunt for unusual child processes associated with the VMware Horizon Tomcat web server service during routine operations,” he wrote.

    OverWatch quickly notified the organization of the activity so the target could “begin their incident response protocol,” researchers said.

    CrowdStrike, among other security firms, has been monitoring for suspicious activity around a vulnerability tracked as CVE-2021-44228 and colloquially known as Log4Shell that was found in the Apache Log4j logging library in early December and immediately set upon by attackers.

    Ever-Widening Attack Surface

    Due to its ubiquitous use, many common infrastructure products from Microsoft, Apple, Twitter, CloudFlare and others are vulnerable to Log4Shell attacks. Recently, VMware also issued guidance that some components of its Horizon service are vulnerable to Log4j exploits, leading OverWatch to add the VMware Horizon Tomcat web server service to their processes-to-watch list, researchers said.

    The Falcon OverWatch team noticed the Aquatic Panda intrusion when the threat actor performed multiple connectivity checks via DNS lookups for a subdomain under dns[.]1433[.]eu[.]org, executed under the Apache Tomcat service running on the VMware Horizon instance, they wrote in the post.

    “The threat actor then executed a series of Linux commands, including attempting to execute a bash-based interactive shell with a hardcoded IP address as well as curl and wget commands in order to retrieve threat-actor tooling hosted on remote infrastructure,” researchers wrote.

    The commands were executed on a Windows host under the Apache Tomcat service, researchers said. They triaged the initial activity and immediately sent a critical detection to the victim organization, later sharing additional details directly with their security team, they said.

    Eventually, researchers assessed that a modified version of the Log4j exploit was likely used during the course of the threat actor’s operations, and that the infrastructure used in the attack is linked to Aquatic Panda, they said.

    Tracking the Attack

    OverWatch researchers tracked the threat actor’s activity closely during the intrusion to provide continuous updates to academic institution as its security administrators scrambled to mitigate the attack, they said.

    Aquatic Panda engaged in reconnaissance from the host, using native OS binaries to understand current privilege levels as well as system and domain details. Researchers also observed the group attempt discover and stop a third-party endpoint detection and response (EDR) service, they said.

    The threat actors downloaded additional scripts and then executed a Base64-encoded command via PowerShell to retrieve malware from their toolkit. They also retrieved three files with VBS file extensions from remote infrastructure, which they then decoded.

    “Based on the telemetry available, OverWatch believes these files likely constituted a reverse shell, which was loaded into memory via DLL search-order hijacking,” researchers wrote.

    Aquatic Panda eventually made multiple attempts to harvest credentials by dumping the memory of the LSASS process using living-off-the-land binaries rdrleakdiag.exe and cdump.exe, a renamed copy of createdump.exe.

    “The threat actor used winRAR to compress the memory dump in preparation for exfiltration before attempting to cover their tracks by deleting all executables from the ProgramData and Windowstemp directories,” researchers wrote.

    The victim organization eventually patched the vulnerable application, which prevented further action from Aquatic Panda on the host and stopped the attack, researchers said.

    New Year, Same Exploit

    As 2021 comes to a close, it’s likely Log4Shell and exploits developed so attackers can use it for nefarious activity will carry their disruption into the new year.

    “The discussion globally around Log4j has been intense, putting many organizations on edge,” OverWatch researchers wrote. “No organization wants to hear about such a potentially destructive vulnerability affecting its networks.”

    Indeed, the flaw already has created considerable headache for organizations and security researchers alike since its discovery earlier this month. Attackers immediately jumped on Log4Shell, spawning 60 variants of the original exploit created for the flaw in a 24-hour period when it was first revealed. Though Apache moved quickly to patch it, the fix also turned problematic, creating a vulnerability of its own.

    Moreover, Aquatic Panda also is not the first organized cybercrime group to recognize the opportunity to exploit Log4Shell, and likely not be the last. On Dec. 20, the Russia-based Conti ransomware gang—known for its sophistication and ruthlessness–became the first professional crimeware outfit to adopt and weaponize the Log4Shell vulnerability with the creation of a holistic attack chain.

    CrowdStrike urged organizations to remain abreast of the latest mitigations available for Log4Shell and overall Log4j vulnerabilities as the situation evolves.

    Check out our free upcoming live and on-demand online town halls – unique, dynamic discussions with cybersecurity experts and the Threatpost community.

    Ein bisher unbekanntes Rootkit wurde entdeckt, das es auf die Integrated Lights-Out (iLO)-Serververwaltungstechnologie von Hewlett-Packard Enterprise abgesehen hat, um Angriffe in freier Wildbahn durchzuführen, die die Firmware-Module manipulieren und die Daten der infizierten Systeme vollständig löschen.

    Die Entdeckung, bei der es sich um den ersten realen Fall von Malware in iLO-Firmware handelt, wurde diese Woche von der iranischen Cybersicherheitsfirma Amnpardaz dokumentiert.

    “Es gibt zahlreiche Aspekte von iLO, die es zu einem idealen Utopia für Malware und APT-Gruppen machen: Extrem hohe Privilegien (oberhalb jeder Zugriffsebene im Betriebssystem), sehr geringer Zugriff auf die Hardware, völlige Unsichtbarkeit für Administratoren und Sicherheitstools, allgemeiner Mangel an Wissen und Tools für die Inspektion und/oder den Schutz von iLO, die Persistenz, die es der Malware ermöglicht, selbst nach einem Wechsel des Betriebssystems zu bleiben, und insbesondere die Tatsache, dass es immer läuft und nie heruntergefahren wird”, so die Forscher.

    [Blocked Image: https://thehackernews.com/images/-_qK1yHVo__w/YVHUUsSpIGI/AAAAAAAA4aY/cbPcuH6NoWs085FCBPnEubY4Xg4ehW0nwCLcBGAsYHQ/s728-e100/rewind-3-728.png]

    Die Tatsache, dass iLO-Module nicht nur die Server verwalten, sondern auch weitreichenden Zugriff auf die gesamte Firmware, Hardware, Software und das auf den Servern installierte Betriebssystem haben, macht sie zu einem idealen Kandidaten, um in Unternehmen mit HP-Servern einzudringen, wobei die Malware auch nach einem Neustart bestehen bleibt und Neuinstallationen des Betriebssystems überlebt. Der genaue Modus Operandi, mit dem die Netzwerkinfrastruktur infiltriert und der Wiper eingesetzt wurde, ist jedoch noch unbekannt.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhvEVyR6r3tRSRUzPU7t_9JfqUiWSSATa121qnYmsHGQGZeZDV6ikh2nYduwM6Qh3z2V84cAKncrFchRHS25cOBNtZ4DUk6AYAKrB4GGmtsXT78_OjBHVI3zKXHGsO1SwiikIgOu1meyhiVtM_NE6hnNR3FbntFsgBZi7nlM6XPvT08WVYElKBYGwy_=s728-e1000]

    Das Rootkit mit dem Namen iLOBleed wird seit 2020 in Angriffen eingesetzt, die darauf abzielen, eine Reihe von Original-Firmware-Modulen zu manipulieren, um Firmware-Updates heimlich zu behindern. Die an der Firmware-Routine vorgenommenen Änderungen simulieren den Aktualisierungsprozess der Firmware, indem sie angeblich die richtige Firmware-Version anzeigen und relevante Protokolle hinzufügen, während in Wirklichkeit keine Aktualisierungen durchgeführt werden.

    “Dies allein zeigt, dass der Zweck dieser Malware darin besteht, ein Rootkit mit maximaler Tarnung zu sein und sich vor allen Sicherheitsinspektionen zu verstecken”, so die Forscher. “Eine Malware, die sich in einer der leistungsstärksten Verarbeitungsressourcen versteckt (die immer eingeschaltet ist) und in der Lage ist, alle von einem Angreifer erhaltenen Befehle auszuführen, ohne jemals entdeckt zu werden.”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEiw8AXRXcNuWShmgSAqCyW4dJEk5WbSfY9gvwoDjAQS4XnEpni0UDRuJjLlwx-lK0UzXVqcB1vy2VO7PJU97nG1BWigHc4tyASrMxD7-lv6fevsPyefrW7t6eq3TJMtqhepxKPLKMZXEQ5hcXcKGqQaZD__C9KQa3pwFEI4UTgtMFJeJZcumSCimnRe=s728-e1000]

    Obwohl der Angreifer noch nicht identifiziert wurde, beschrieb Amnpardaz das Rootkit als das Werk einer fortgeschrittenen, anhaltenden Bedrohung (Advanced Persistent Threat, APT), eine Bezeichnung für eine nationalstaatliche oder staatlich geförderte Gruppe, die kontinuierliche, geheime und ausgefeilte Hacking-Techniken einsetzt, um unbefugten Zugang zu einem System zu erlangen und über einen längeren Zeitraum darin zu bleiben, ohne Aufmerksamkeit zu erregen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Die Entwicklung rückt die Sicherheit der Firmware erneut in den Mittelpunkt und macht es erforderlich, dass vom Hersteller bereitgestellte Firmware-Updates umgehend angewendet werden, um potenzielle Risiken zu minimieren, dass iLO-Netzwerke von den Betriebsnetzwerken getrennt werden und dass die Firmware regelmäßig auf Anzeichen einer Infektion überwacht wird.

    “Ein weiterer wichtiger Punkt ist, dass es Methoden gibt, um sowohl über das Netzwerk als auch über das Host-Betriebssystem auf iLO zuzugreifen und es zu infizieren”, so die Forscher. “Das bedeutet, dass selbst wenn das iLO-Netzwerkkabel vollständig abgezogen ist, die Möglichkeit einer Infektion mit der Malware besteht. Interessanterweise gibt es keine Möglichkeit, iLO komplett auszuschalten oder zu deaktivieren, wenn es nicht benötigt wird.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    A previously unknown rootkit has been found setting its sights on Hewlett-Packard Enterprise’s Integrated Lights-Out (iLO) server management technology to carry out in-the-wild attacks that tamper with the firmware modules and completely wipe data off the infected systems.

    The discovery, which is the first instance of real-world malware in iLO firmware, was documented by Iranian cybersecurity firm Amnpardaz this week.

    “There are numerous aspects of iLO that make it an ideal utopia for malware and APT groups: Extremely high privileges (above any level of access in the operating system), very low-level access to the hardware, being totally out of the sight of the admins, and security tools, the general lack of knowledge and tools for inspecting iLO and/or protecting it, the persistence it provides for the malware to remain even after changing the operating system, and in particular being always running and never shutting down,” the researchers said.

    Besides managing the servers, the fact that iLO modules have broad access to all the firmware, hardware, software, and operating system (OS) installed on the servers make them an ideal candidate to breach organizations using HP servers, while also enabling the malware to maintain persistence after reboots and survive OS reinstallations. However, the exact modus operandi used to infiltrate the network infrastructure and deploy the wiper remains unknown as yet.

    Dubbed iLOBleed, the rootkit has been put to use in attacks since 2020 with the goal of manipulating a number of original firmware modules in order to stealthily obstruct updates to the firmware. Specifically, the modifications made to the firmware routine simulates the firmware upgrade process — by purportedly displaying the right firmware version and adding relevant logs — when in reality no updates are performed.

    “This alone shows that the purpose of this malware is to be a rootkit with maximum stealth and to hide from all security inspections,” the researchers said. “A malware that, by hiding in one of the most powerful processing resources (which is always on), is able to execute any commands received from an attacker, without ever being detected.”

    Although the adversary remains unidentified, Amnpardaz described the rootkit as likely the work of an advanced persistent threat (APT), a designation a nation-state or state-sponsored group that employs continuous, clandestine, and sophisticated hacking techniques to gain unauthorized access to a system and remain inside for a prolonged period of time without attracting attention.

    If anything, the development once again brings firmware security into sharp focus, necessitating that firmware updates shipped by the manufacturer are promptly applied to mitigate potential risks, iLO networks are segmented from the operating networks, and that the firmware is periodically monitored for signs of infection.

    “Another important point is that there are methods to access and infect iLO both through the network and through the host operating system,” the researchers noted. “This means that even if the iLO network cable is completely disconnected, there is still the possibility of infection with the malware. Interestingly, there is no way to turn off or disable iLO completely in case it is not needed.”

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    A never-before-seen China-based targeted intrusion adversary dubbed Aquatic Panda has been observed leveraging critical flaws in the Apache Log4j logging library as an access vector to perform various post-exploitation operations, including reconnaissance and credential harvesting on targeted systems.

    Cybersecurity firm CrowdStrike said the infiltration, which was ultimately foiled, was aimed at an unnamed “large academic institution.” The state-sponsored group is believed to have been operating since mid-2020 in pursuit of intelligence collection and industrial espionage, with its attacks primarily directed against companies in the telecommunications, technology, and government sectors.

    The attempted intrusion exploited the newly discovered Log4Shell flaw (CVE-2021-44228, CVSS score: 10.0) to gain access to a vulnerable instance of the VMware Horizon desktop and app virtualization product, followed by running a series of malicious commands orchestrated to fetch threat actor payloads hosted on a remote server.

    “A modified version of the Log4j exploit was likely used during the course of the threat actor’s operations,” the researchers noted, adding it involved the use of an exploit that was published in GitHub on December 13, 2021.

    Aquatic Panda’s malicious behavior went beyond conducting reconnaissance of the compromised host, starting with making an effort to stop a third-party endpoint detection and response (EDR) service, before proceeding to retrieve next-stage payloads designed to obtain a reverse shell and harvest credentials.

    But after the victim organization was alerted to the incident, the entity “was able to quickly implement their incident response protocol, eventually patching the vulnerable application and preventing further threat actor activity on the host.” In light of the attack’s successful disruption, the exact intent remains unknown.

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Ein noch nie dagewesener, in China ansässiger Angreifer mit dem Namen Aquatic Panda wurde dabei beobachtet, wie er kritische Schwachstellen in der Apache Log4j-Protokollierungsbibliothek als Zugriffsvektor nutzt, um verschiedene Operationen nach der Ausbeutung durchzuführen, einschließlich der Erkundung und des Sammelns von Zugangsdaten auf den Zielsystemen.

    Nach Angaben der Cybersecurity-Firma CrowdStrike zielte die Infiltration, die letztlich vereitelt wurde, auf eine ungenannte “große akademische Einrichtung”. Es wird angenommen, dass die staatlich gesponserte Gruppe seit Mitte 2020 mit dem Ziel der Informationsbeschaffung und Industriespionage operiert, wobei sich ihre Angriffe hauptsächlich gegen Unternehmen in den Bereichen Telekommunikation, Technologie und Regierung richten.

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Bei dem versuchten Eindringen wurde die neu entdeckte Log4Shell-Schwachstelle (CVE-2021-44228, CVSS-Score: 10.0) ausgenutzt, um Zugriff auf eine anfällige Instanz des Desktop- und Anwendungsvirtualisierungsprodukts VMware Horizon zu erhalten. Anschließend wurde eine Reihe bösartiger Befehle ausgeführt, die so orchestriert waren, dass sie Nutzdaten von Bedrohungsakteuren abrufen konnten, die auf einem Remote-Server gehostet wurden.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgqBlahJbsTfoccuO0N2zuhjjsJP3u8aIaRLaVSRXFnw-s5991WD8rNH0pslvdX_M4U5o1Am83333vRx3MvPKf_LSw64qAultRxSib6Ebm8qT9Q3x6RiZTIxNw1_hAzRYIrmyUVFtvTzWqxzzalobjd8WqD1HnBX4oqEVVggd_9aknnqQfB3vb0RE0y=s728-e1000]

    “Eine modifizierte Version des Log4j-Exploits wurde wahrscheinlich im Verlauf der Operationen des Bedrohungsakteurs verwendet”, so die Forscher, und fügten hinzu, dass ein Exploit verwendet wurde, der am 13. Dezember 2021 auf GitHub veröffentlicht wurde.

    Das böswillige Verhalten von Aquatic Panda ging über die Erkundung des kompromittierten Hosts hinaus und begann mit dem Versuch, einen EDR-Dienst (Endpoint Detection and Response) eines Drittanbieters zu stoppen, bevor er mit dem Abrufen von Nutzdaten der nächsten Stufe fortfuhr, um eine Reverse Shell zu erhalten und Anmeldeinformationen zu sammeln.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Nachdem die betroffene Organisation auf den Vorfall aufmerksam gemacht wurde, war sie jedoch in der Lage, ihr Protokoll zur Reaktion auf den Vorfall schnell umzusetzen, die anfällige Anwendung zu patchen und weitere Aktivitäten von Bedrohungsakteuren auf dem Host zu verhindern. In Anbetracht der erfolgreichen Unterbrechung des Angriffs bleibt die genaue Absicht unbekannt.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Eine laufende Krypto-Mining-Kampagne hat ihr Arsenal aufgerüstet und gleichzeitig neue Verteidigungsumgehungstaktiken hinzugefügt, die es den Bedrohungsakteuren ermöglichen, die Eindringlinge zu verbergen und unter dem Radar zu fliegen, wie neue, heute veröffentlichte Forschungsergebnisse zeigen.

    Seit der ersten Entdeckung im Jahr 2019 wurden bis heute insgesamt 84 Angriffe auf seine Honeypot-Server aufgezeichnet, von denen vier im Jahr 2021 stattfanden, so die Forscher des DevSecOps- und Cloud-Sicherheitsunternehmens Aqua Security, die die Malware-Operation in den letzten drei Jahren verfolgt haben. Allerdings wurden allein im dritten Quartal 2021 125 Angriffe in freier Wildbahn gesichtet, was darauf hindeutet, dass die Angriffe nicht nachgelassen haben.

    Bei den ersten Angriffen wurde beim Ausführen eines Vanilla-Images namens “alpine:latest” ein bösartiger Befehl ausgeführt, der zum Download eines Shell-Skripts namens “autom.sh” führte.

    “Angreifer verwenden häufig Vanilla-Images zusammen mit bösartigen Befehlen, um ihre Angriffe auszuführen, da die meisten Organisationen den offiziellen Images vertrauen und deren Verwendung erlauben”, so die Forscher in einem Bericht, der The Hacker News vorliegt. “Im Laufe der Jahre hat sich der bösartige Befehl, der dem offiziellen Image hinzugefügt wurde, um den Angriff auszuführen, kaum verändert. Der Hauptunterschied ist der Server, von dem das Shell-Skript autom.sh heruntergeladen wurde.”

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Das Shell-Skript leitet die Angriffssequenz ein und ermöglicht es dem Angreifer, ein neues Benutzerkonto unter dem Namen “akay” zu erstellen und dessen Berechtigungen zu einem Root-Benutzer zu erweitern, mit dem beliebige Befehle auf dem kompromittierten Rechner ausgeführt werden, um Kryptowährung zu schürfen.

    Während die frühen Stadien der Kampagne im Jahr 2019 keine speziellen Techniken zur Verschleierung der Mining-Aktivitäten enthielten, zeigen spätere Versionen die extremen Maßnahmen, die die Entwickler ergriffen haben, um sie für die Erkennung und Überprüfung unsichtbar zu machen, insbesondere die Fähigkeit, Sicherheitsmechanismen zu deaktivieren und ein verschleiertes Mining-Shell-Skript abzurufen, das fünfmal Base64-kodiert wurde, um Sicherheitstools zu umgehen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjL_NHzOGYPjcbggur5-ler5jP3vR18pUrx6fxO1CQynbcWXjA_enyLB7b1Tz_ZByvt85RbrvMeP_UyEVXxym_ZY3V9JqXdwprDHL1SCv59FytRXVWlQbtXzNo0gfBGL7oFdMpfS-Y6P-aDX6V_8qR58yYhKtGsZKHoji5OR1vyck5KlRM1z5qxt9XB=s728-e1000]

    Malware-Kampagnen, die darauf abzielen, Computer zu kapern, um Kryptowährungen zu schürfen, wurden von mehreren Bedrohungsakteuren wie Kinsing dominiert. Kinsing hat das Internet nach falsch konfigurierten Docker-Servern durchsucht, um in die ungeschützten Hosts einzudringen und einen bisher nicht dokumentierten Coin-Miner-Stamm zu installieren.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgQL675wRyXhK4J7eeV0m3ReQwH02mTIGbayvU6n-D3e9fjRq992l8dALghxCw149gj5feKrKG-UPlHzH9Gf7sXZcBhNO1DZzmIQH4gJerVB_leUQucvYafoo93jIObAnVu-qD4EmtlXN--nxw4X7KWMaHnDz87G_JNS6lbS7GCVocL0pqEv1bW0L8J=s728-e1000]

    Darüber hinaus wurde eine Hackergruppe namens TeamTNT dabei beobachtet, wie sie ungesicherte Redis-Datenbankserver, Alibaba Elastic Computing Service (ECS)-Instanzen, exponierte Docker-APIs und anfällige Kubernetes-Cluster angriff, um bösartigen Code mit Root-Rechten auf den anvisierten Hosts auszuführen sowie Kryptowährungs-Mining-Payloads und Credential Stealers zu verteilen. Darüber hinaus wurden kompromittierte Docker Hub-Konten genutzt, um bösartige Images zu hosten, die dann zur Verteilung von Kryptowährungs-Minern verwendet wurden.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    In den letzten Wochen wurden Sicherheitslücken in der Log4j-Protokollierungsbibliothek sowie kürzlich aufgedeckte Schwachstellen in Atlassian Confluence, F5 BIG-IP, VMware vCenter und Oracle WebLogic Servern dazu missbraucht, Rechner zu übernehmen, um Kryptowährungen zu schürfen – ein Schema, das als Cryptojacking bekannt ist. Anfang dieses Monats warnte der Hersteller von Network-Attached-Storage (NAS)-Geräten QNAP vor Malware für das Mining von Kryptowährungen, die auf seine Geräte abzielt und etwa 50 % der gesamten CPU-Auslastung in Anspruch nehmen kann.

    “Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld umzuwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken”, stellte Sean Gallagher, Senior Threat Researcher bei Sophos, in einer Analyse einer Tor2Mine-Mining-Kampagne fest, bei der ein PowerShell-Skript verwendet wird, um den Malware-Schutz zu deaktivieren, eine Miner-Nutzlast auszuführen und Windows-Anmeldedaten zu sammeln.

    “Die Autom-Kampagne zeigt, dass die Angreifer immer raffinierter werden und ihre Techniken sowie ihre Fähigkeit, die Erkennung durch Sicherheitslösungen zu umgehen, ständig verbessern”, so die Forscher. Um sich vor diesen Bedrohungen zu schützen, wird empfohlen, verdächtige Container-Aktivitäten zu überwachen, dynamische Image-Analysen durchzuführen und die Umgebungen routinemäßig auf Fehlkonfigurationen zu überprüfen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    An ongoing crypto mining campaign has upgraded its arsenal while adding new defense evasion tactics that enable the threat actors to conceal the intrusions and fly under the radar, new research published today has revealed.

    Since first detected in 2019, a total of 84 attacks against its honeypot servers have been recorded to date, four of which transpired in 2021, according to researchers from DevSecOps and cloud security firm Aqua Security, who have been tracking the malware operation for the past three years. That said, 125 attacks have been spotted in the wild in the third quarter of 2021 alone, signaling that the attacks have not slowed down.

    Initial attacks involved executing a malicious command upon running a vanilla image named “alpine:latest” that resulted in the download of a shell script named “autom.sh.”

    “Adversaries commonly use vanilla images along with malicious commands to perform their attacks, because most organizations trust the official images and allow their use,” the researchers said in a report shared with The Hacker News. “Over the years, the malicious command that was added to the official image to carry out the attack has barely changed. The main difference is the server from which the shell script autom.sh was downloaded.”

    The shell script initiates the attack sequence, enabling the adversary to create a new user account under the name “akay” and upgrade its privileges to a root user, using which arbitrary commands are run on the compromised machine with the goal of mining cryptocurrency.

    While early stages of the campaign in 2019 featured no special techniques to hide the mining activity, later versions show the extreme measures its developers have taken to keep it invisible to detection and inspection, chief among them being the ability to disable security mechanisms and retrieve an obfuscated mining shell script that was Base64-encoded five times to get around security tools.

    Malware campaigns carried out to hijack computers to mine cryptocurrencies have been dominated by multiple threat actors such as Kinsing, which has been found scanning the internet for misconfigured Docker servers to break into the unprotected hosts and install a previously undocumented coin miner strain.

    On top of that, a hacking group named TeamTNT has been observed striking unsecured Redis database servers, Alibaba Elastic Computing Service (ECS) instances, exposed Docker APIs, and vulnerable Kubernetes clusters in order to execute malicious code with root privileges on the targeted hosts as well as deploy cryptocurrency-mining payloads and credential stealers. In addition, compromised Docker Hub accounts have also been employed to host malicious images that were then used to distribute cryptocurrency miners.

    In recent weeks, security flaws in the Log4j logging library as well as vulnerabilities recently uncovered in Atlassian Confluence, F5 BIG-IP, VMware vCenter, and Oracle WebLogic Servers have been abused to take over machines to mine cryptocurrencies, a scheme known as cryptojacking. Earlier this month, network-attached storage (NAS) appliance maker QNAP warned of cryptocurrency mining malware targeting its devices that could occupy around 50% of the total CPU usage.

    “Miners are a low-risk way for cybercriminals to turn a vulnerability into digital cash, with the greatest risk to their cash flow being competing miners discovering the same vulnerable servers,” Sophos senior threat researcher Sean Gallagher noted in an analysis of a Tor2Mine mining campaign, which involves the use of a PowerShell script to disable malware protection, execute a miner payload, and harvest Windows credentials.

    “The Autom campaign illustrates that attackers are becoming more sophisticated, continually improving their techniques and their ability to avoid detection by security solutions,” the researchers said. To protect against these threats, it’s recommended to monitor suspicious container activity, perform dynamic image analysis, and routinely scan the environments for misconfiguration issues.

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Campaign exploits misconfigured Docker APIs to gain network entry and ultimately sets up a backdoor on compromised hosts to mine cryptocurrency.

    Hackers behind a cryptomining campaign have managed to avoid detection since 2019. The attacks exploited misconfigured Docker APIs that allowed them to gain network entry and ultimately sets up a backdoor on compromised hosts to mine cryptocurrency, researchers said.

    The attack technique is script-based and dubbed “Autom”, because it exploits the file “autom.sh”. Attackers have consistently abused the API misconfiguration during the campaign’s active period, however the evasion tactics have varied – allowing adversaries to fly under the radar, wrote Aquasec’s research arm Team Nautilus in a report published Wednesday.

    Attackers hit honeypots set up by Team Nautilus 84 times since 2019, with 22 attacks in 2019, 58 in 2020, and four in 2021 before researchers began writing up their report in October, researchers said. Researchers also report attacks on honeypots decreased significantly this year, while overall targeting of poorly configured Docker APIs did not, according to a Shodan search, researchers noted.

    “This decrease in attacks on our honeypots might imply that the attackers identified them and therefore reduced the volume of their attacks in 2021,” they wrote.

    Though attackers use the same entry point and tactics to achieve their ultimate goal of cryptomining during the attack vector, what changed most about the attack over the years is how threat actors constantly have evolved evasive maneuvers to avoid detection, researchers said.

    “We saw the progression of the campaign in the tactics that the adversaries use to avoid detection,” they wrote in the report.

    Attackers also have used five different servers to download the shell script that initiates the attack since they started, they said. “It seems that the group behind the attack has developed their skills to expand the attack surface and spread their attack,” researchers wrote.

    Attack Breakdown

    Team Nautilus first observed the attack in 2019 when a malicious command was executed during the run of a vanilla image alpine:latest, which downloaded the autom.sh shell script, they said in the report. Adversaries commonly use vanilla images along with malicious commands to perform attacks because most organizations trust these images and allow their use, researchers explained.

    Attackers consistently have used the same entry point for the attack, which is executed from a remote server that searches for vulnerable hosts to exploit misconfigured Docker APIs, they wrote.

    Then they run the vanilla image and subsequent malicious shell, which creates a user by two methods—adduser, which adds users by setting up the account’s home folder and other settings, and useradd, a low-level utility command for adding users–under the name akay.

    Since the newly created user is not privileged, the threat actors elevate privileges by using the “sudo” prefix and then turns it into a root user, which grants unlimited privileges to run any command sudoers file. This controls how sudo works on a targeted machine, basically making the threat actor a superuser, researchers wrote.

    Attackers then use the domain icanhazip[.]com to get the public IP address of the compromised host and use it to download a file from the remove server. Through these series of steps, attackers install a backdoor that grants them persistence on the compromised host to stealthily mine cryptocurrency, researchers wrote.

    Evasive Maneuvers

    While attackers have barely changed how they gain entry and achieve persistence on victims’ machines since they started the Autom campaign, they have changed two things–the server from which the shell script autom.sh was downloaded and, more notably, specific evasion tactics, researchers said.

    To the latter point, Team Nautilus has observed the campaign evolving from having no “special techniques” for hiding its nefarious business in 2019 to adding more complex concealment tactics over the next two years, researchers said.

    In 2020, they disabled a number of security mechanisms to stay hidden, including ufw (Uncomplicated Firewall), which enables users to allow or deny access to a service and NMI (non-maskable interrupt), which is the highest-priority interrupt that typically occurs to signal attention for non-recoverable hardware errors and is used to monitor system resets.

    This year, attackers added a new technique to hide the cryptomining activity by downloading an obfuscated shell script from a remote server, researchers said.

    “They encoded the script in base64 five times to prevent security tools from reading it and understanding the intentions behind it,” they wrote. “Decoding the script revealed the mining activity.”

    Other concealment capabilities added over the course of the campaign included downloading the log_rotate.bin script, which launches the cryptomining activity by creating a new cron job that will initiate mining every 55 minutes on the compromised host, researchers added.

    “The Autom campaign illustrates that attackers are becoming more sophisticated, continually improving their techniques and their ability to avoid detection by security solutions,” they observed.

    Die Kampagne nutzt falsch konfigurierte Docker-APIs aus, um sich Zugang zum Netzwerk zu verschaffen, und richtet schließlich eine Backdoor auf kompromittierten Hosts ein, um Kryptowährung zu schürfen.

    Hackern, die hinter einer Kryptomining-Kampagne stecken, ist es seit 2019 gelungen, einer Entdeckung zu entgehen. Die Angriffe nutzten falsch konfigurierte Docker-APIs aus, die es ihnen ermöglichten, sich Zugang zum Netzwerk zu verschaffen und schließlich eine Hintertür auf kompromittierten Hosts einzurichten, um Kryptowährung zu schürfen, so Forscher.

    Die Angriffstechnik ist skriptbasiert und wird als “Autom” bezeichnet, da sie die Datei “autom.sh” ausnutzt. Die Angreifer haben die API-Fehlkonfiguration während des aktiven Zeitraums der Kampagne konsequent ausgenutzt, allerdings variierten die Umgehungstaktiken, was es den Angreifern ermöglichte, unter dem Radar zu fliegen, schrieb Aquasec’s Forschungsabteilung Team Nautilus in einem am Mittwoch veröffentlichten Bericht.

    Angreifer haben Honeypots, die von Team Nautilus eingerichtet wurden, seit 2019 84 Mal getroffen, mit 22 Angriffen im Jahr 2019, 58 im Jahr 2020 und vier im Jahr 2021, bevor die Forscher im Oktober mit der Erstellung ihres Berichts begannen, so die Forscher. Die Forscher berichten auch, dass die Angriffe auf Honeypots in diesem Jahr deutlich zurückgegangen sind, während die Angriffe auf schlecht konfigurierte Docker-APIs laut einer Shodan-Suche insgesamt nicht abgenommen haben, so die Forscher.

    “Dieser Rückgang der Angriffe auf unsere Honeypots könnte darauf hindeuten, dass die Angreifer sie identifiziert und daher das Volumen ihrer Angriffe im Jahr 2021 reduziert haben”, schreiben sie.

    Obwohl die Angreifer den gleichen Einstiegspunkt und die gleichen Taktiken verwenden, um ihr ultimatives Ziel des Kryptomining während des Angriffsvektors zu erreichen, ist das, was sich am meisten über den Angriff im Laufe der Jahre verändert hat, wie die Bedrohungsakteure ständig Ausweichmanöver entwickelt haben, um die Entdeckung zu vermeiden, sagten die Forscher.

    “Wir haben die Entwicklung der Kampagne in den Taktiken gesehen, die die Gegner einsetzen, um eine Entdeckung zu vermeiden”, schreiben sie in dem Bericht.

    Außerdem haben die Angreifer seit Beginn der Kampagne fünf verschiedene Server verwendet, um das Shell-Skript herunterzuladen, das den Angriff initiiert, so die Forscher. “Es scheint, dass die Gruppe hinter dem Angriff ihre Fähigkeiten entwickelt hat, um die Angriffsfläche zu erweitern und ihren Angriff zu verbreiten”, schreiben die Forscher.

    Aufschlüsselung des Angriffs

    Das Team Nautilus beobachtete den Angriff erstmals im Jahr 2019, als ein bösartiger Befehl während der Ausführung eines Vanilla-Images alpine:latest ausgeführt wurde, das das Shell-Skript autom.sh herunterlud, so die Forscher in ihrem Bericht. Angreifer verwenden häufig Vanilla-Images zusammen mit bösartigen Befehlen, um Angriffe auszuführen, da die meisten Organisationen diesen Images vertrauen und ihre Verwendung zulassen, so die Forscher.

    Die Angreifer haben stets denselben Einstiegspunkt für den Angriff verwendet, der von einem Remote-Server ausgeführt wird, der nach anfälligen Hosts sucht, um falsch konfigurierte Docker-APIs auszunutzen, so die Forscher.

    Dann führen sie das Vanilla-Image und die anschließende bösartige Shell aus, die einen Benutzer mit zwei Methoden erstellt: adduser, das Benutzer hinzufügt, indem es den Home-Ordner des Kontos und andere Einstellungen einrichtet, und useradd, ein Low-Level-Dienstprogrammbefehl zum Hinzufügen von Benutzern, unter dem Namen akay.

    Da der neu erstellte Benutzer nicht privilegiert ist, erhöhen die Bedrohungsakteure die Privilegien, indem sie das Präfix “sudo” verwenden und ihn dann in einen Root-Benutzer verwandeln, der unbegrenzte Privilegien für die Ausführung aller Befehle der Datei sudoers gewährt. Auf diese Weise wird kontrolliert, wie sudo auf einem Zielcomputer funktioniert, und der Bedrohungsakteur wird im Grunde zu einem Superuser, schreiben die Forscher.

    Die Angreifer verwenden dann die Domain icanhazip[.]com, um die öffentliche IP-Adresse des kompromittierten Hosts zu erhalten und sie zum Herunterladen einer Datei vom Entfernungsserver zu verwenden. Durch diese Reihe von Schritten installieren die Angreifer eine Hintertür, die ihnen Persistenz auf dem kompromittierten Host gewährt, um heimlich Kryptowährung zu schürfen, schreiben die Forscher.

    Ausweichmanöver

    Während die Angreifer seit Beginn der Autom-Kampagne kaum verändert haben, wie sie sich Zugang zu den Rechnern der Opfer verschaffen und sich dort festsetzen, haben sie zwei Dinge verändert – den Server, von dem das Shell-Skript autom.sh heruntergeladen wurde, und, was noch bemerkenswerter ist, bestimmte Umgehungstaktiken, so die Forscher.

    In Bezug auf den letzteren Punkt hat das Team Nautilus beobachtet, dass die Kampagne im Jahr 2019 keine “speziellen Techniken” zum Verstecken ihrer schändlichen Geschäfte einsetzte und in den folgenden zwei Jahren komplexere Verschleierungstaktiken hinzufügte, so die Forscher.

    Im Jahr 2020 deaktivierten sie eine Reihe von Sicherheitsmechanismen, um im Verborgenen zu bleiben, darunter ufw (Uncomplicated Firewall), die es Benutzern ermöglicht, den Zugriff auf einen Dienst zuzulassen oder zu verweigern, und NMI (non-maskable interrupt), der Interrupt mit der höchsten Priorität, der typischerweise auftritt, um Aufmerksamkeit für nicht behebbare Hardwarefehler zu signalisieren, und der zur Überwachung von Systemresets verwendet wird.

    In diesem Jahr fügten die Angreifer eine neue Technik hinzu, um die Kryptomining-Aktivität zu verbergen, indem sie ein verschleiertes Shell-Skript von einem Remote-Server herunterluden, so die Forscher.

    “Sie verschlüsselten das Skript fünfmal in base64, um zu verhindern, dass Sicherheitstools es lesen und die Absichten dahinter verstehen können”, schreiben sie. “Die Dekodierung des Skripts enthüllte die Mining-Aktivität”.

    Zu den weiteren Verschleierungsmöglichkeiten, die im Laufe der Kampagne hinzugefügt wurden, gehörte das Herunterladen des Skripts log_rotate.bin, das die Kryptomining-Aktivität durch die Erstellung eines neuen Cron-Jobs startet, der alle 55 Minuten auf dem kompromittierten Host das Mining einleitet, fügten die Forscher hinzu.

    “Die Autom-Kampagne zeigt, dass die Angreifer immer raffinierter werden und ihre Techniken sowie ihre Fähigkeit, die Erkennung durch Sicherheitslösungen zu vermeiden, ständig verbessern”, so die Forscher.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Here’s what cybersecurity watchers want infosec pros to know heading into 2022.

    No one could have predicted the sheer chaos the cybersecurity industry would experience over the course of 2021. Record-annihilating numbers of ransomware attacks, SolarWinds’ supply-chain havoc and most recently, the discovery of Log4j by…Minecraft gamers. All of it would have sounded too wild for real life a short year ago.

    Yet here we are.

    Predictions about the year ahead seem audacious considering the last 12 months, so instead, Threatpost talked to industry experts and developed this list of the five top trends to watch in 2022.

    There Will Be Growing Government Interest, Influence in Cybersecurity

    SolarWinds, the Colonial Pipeline attack, spyware and privacy concerns have grabbed the attention of global governments, and experts widely agree the year ahead will be chock full of new regulations and investments.

    In the months leading up to the 2020 elections, governments were focused on the spread of disinformation to influence election outcomes, but other urgent national security demands emerged in the wake of massive cyberattacks on critical infrastructure. These immediate cyberthreats will continue to dominate government focus throughout 2022, researchers predicted.

    Jonathan Reiber, former chief strategy officer for cyber-policy for the office of the Secretary of Defense during the Obama administration, and now current senior director of cybersecurity strategy and policy at AttackIQ, explained that the federal government is currently working to identify where it can most effectively deploy resources to shore up defenses against cyberattacks.

    “A year after the SolarWinds intrusion and approaching the one-year anniversary of the Colonial Pipeline ransomware attack, the country is focused on improving cybersecurity for high-priority critical infrastructure,” Reiber said. “At the national level, this includes identifying which organizations require the most federal cybersecurity support.”

    Congress will likely focus on national security risk analysis, Reiber added.

    “Trends indicate that the national prioritization discussion in Congress will take on the form of macro-level catastrophic risk analysis for managing top-tier risks to the country,” he added. “Building on earlier analysis of companies across the United States that could present a strategic risk to the country if disrupted (known as the “Section 9″ list), Congress will deliberate about how the federal government can help manage systemic cybersecurity risks to the U.S. economy and society, to include mission-critical functions in key sectors like healthcare, elections and energy.”

    He added that discussions about the appropriate role and authority that the Cybersecurity and Infrastructure Security Agency (CISA) should maintain will likewise be taken up by Congress in 2022.

    In response to the May 2021 Biden Administration Executive Order, Reiber anticipates recommendations for zero-trust architectures to be deployed and operational across high-value government asserts during the first half of 2022.

    “As the federal government adopts the practice, more private organizations will follow suit, building higher walls around high-value assets,” Reider said.

    Both state and national laws protecting consumer privacy are expected in 2022 by Trevor Hughes, president and CEO of the International Association of Privacy Professionals (IAPP).

    “The trendlines for privacy that formed in 2021 will accelerate and will bring new risks and complexity for organizations,” Hughes explained. “More national laws will be passed. More state laws will be passed. More (and heftier) enforcement will occur.”

    The trade-off for business is that privacy protections will be something that end users are more concerned about.

    “Companies will continue to leverage privacy to build trust and engage customers, but will also weaponize their differentiation against laggard competitors in privacy,” Hughes added.

    Social-Engineering Endures

    People are still gonna people in 2022 and they’re still, largely, going to do the easiest thing, regardless of its impact to the organization’s security posture. And that’s something cybercriminals will continue to count on to make their social-engineering scams work.

    “Social engineering will continue to work pretty dang well,” Stairwell’s Mike Wiacek said about 2022. “Social engineering is one of the most difficult security issues to address because no compliance, governance or risk-management action can address the fact that people are imperfect and susceptible to being duped.”

    Over the course of their workday, otherwise serious people can be incredibly careless and that’s not likely to change anytime soon.

    “Did John really pick up a USB flash drive in the parking lot and plug it into his corporate workstation? Did Sally just click on a link in an email for a free Rolex?” Wiacek mused. “Cybersecurity is a problem for which everyone is responsible, but few comprehend how much harm their individual actions may cause.”

    In addition to widely recommended user training, Wiacek suggested cybersecurity professionals change their internal communications approach in 2022.

    “Security teams need to engage with their coworkers directly and be easily accessible,” Wiacek said. “Most security teams have a reputation for saying ‘no.’ They need to have a reputation for saying ‘yes’ instead. Building a strong security culture requires relationships, trust and strong passion for customer experience — even if that customer is John in accounting.”

    Jason Hoenich, vice president of service delivery and security awareness at Arctic Wolf, agreed that security teams can do more to help sway employees to their cause.

    “Instead, try meeting users where they are,” Heonich recommended. “Understand that an average workday for most involves tons of emails, meetings, presentations, soccer practices, commutes and that we’re all just doing our best, and sometimes, amidst all of that multitasking, we’ll make some mistakes.”

    He added rather than the old, tired “gamification” approach to awareness training, a message that can be digested in small bites, more like social media, is a more effective approach.

    “Getting folks the tips and guidance they need in a familiar medium, like humorous videos, is a great first step to building trust with your coworkers,” Heonich said. “Anything you put in front of them should look and feel just like the content they’re choosing to consume on apps like Facebook, TikTok, Instagram, YouTube, etc. Great production, humor and storytelling go a long way to engage users and build credibility for the security team.”

    Supply Chain is the New Ransomware

    This year, the industry will start to shift the way it looks at ransomware, realizing it’s not the ransomware itself that’s the problem, it’s the entry point, Ian McShane, field CTO at Arctic Wolf explained to Threatpost.

    “We will shift from a greater focus on what to do after the attack and focus on how to predict and protect the first line of attack, using data science to model scenarios that can highlight the potential weaknesses in the supply chain,” McShane said. “This will only come in tandem with greater transparency and disclosure.”

    And the number of supply-chain ransomware attacks isn’t likely to abate over the next 12 months either, according to Deepen Desai, CISO and vice president of security research and operations at Zscaler.

    “Supply-chain ransomware is a particular concern due to the ability for a single breach to impact hundreds or thousands of end companies,” Desai told Threatpost. “Tech companies experienced a 2,300 percent increase in attacks in 2021, and we don’t foresee any relief in 2022.”

    McShane also recommended that the industry do a better job at embracing disclosures.

    “We will also need to decriminalize and destigmatize the ‘scarlet letter’ that comes with disclosure,” McShane said. “Rewarding users for proper security behavior and giving them more visibility into how incidents are handled will encourage them to be more security-conscious.”

    It’s those everyday users who most regularly interact with common supply-chain attack vectors.

    “The fact is simply using email is a supply-chain concern,” he added. “As we look toward a more secure future, things like email security, Microsoft’s operating system and cloud collaboration tools – the modern supply chain – must be a focus for security teams and awareness training.”

    Email will be increasingly targeted in 2022 with targeted, high-quality spear-phishing attempts, and will require a change in defense tactics, according to Troy Gill, senior manager of threat intelligence with Zix | App River.

    “Spear-phishing attacks, which involve cybercriminals personalizing emails to fit a smaller group of individuals than traditional tactics, and appear more authentic, are not going anywhere,” Gill said in an email to Threatpost. “As the rise in personalized phishing gives way to new customization tactics in 2022, organizations will respond by prioritizing building more specificity into their email defenses.”

    Ransomware-as-a-Service Actors Pivoting to SMBs, Prospering

    Ransomware-as-a-service (RaaS) has helped make digital extortion a booming business, and 2022 is likely to be another banner year for ransomware threat actors.

    “In 2022, the RaaS model will see continued growth as it has proven to be an incredibly efficient vehicle for maximizing profits,” Gill said. “While the growth trajectory is staying the same, the primary target of ransomware attacks will not. Government involvement in defense of critical infrastructure will motivate ransomware groups to target small and medium-sized businesses (SMBs) to draw less attention than larger, high-profile targets.”

    One clear emerging trend is the rise in cybersecurity inequity between the Fortune 500 companies and SMBs. It’s something Arctic Wolf’s McShane calls the “haves and the have-nots.”

    “It’s become abundantly clear that cyberattackers don’t discriminate based on the size of their targets,” McShane said. “Small businesses and mid-market enterprises have proven to be just as lucrative for things like ransomware attacks.”

    With government and big companies pouring cash into cybersecurity, underfunded and understaffed SMBs are prime targets for ransomware groups.

    Cybersecurity Industry Needs Better Coordination in 2022

    Over the past year, threat groups have shown they have the resilience to come together to solve problems with greater coordination. Cybersecurity? Not so much.

    “As we have seen with the evolution of malware-as-a-service and phishing-as-a-service, threat actors are willing to join forces for mutual success,” Gill explained.

    For instance, he pointed out after Emotet was taken down by law enforcement in January, TrickBot stepped up to help and “began re-seeding Emotet infections to get them back into operation.”

    Even cybercrime competitors understand the benefits of a robust ransomware market capable to refining their tools and generating noise to hide behind, Gill added.

    “That is why in 2022, we will see cybercriminals form even more robust working relationships to facilitate their continued success,” Gill said.

    When it comes to the cybersecurity community, there is more work to be done to shore up the entire ecosystem, according to Ian McShane. That means larger companies sharing tools and talent with SMBs without resources to protect themselves alone, among other actions.

    “The industry needs to work to democratize security, particularly as the talent gap and retention continue to stretch teams thin,” McShane added. “Digital transformation and technology expansion has created a massive opportunity for attackers and securing the entire supply chain is the only way to protect all of us.”

    Check out our free upcoming live and on-demand online town halls – unique, dynamic discussions with cybersecurity experts and the Threatpost community.

    Hier ist, was Cybersecurity-Beobachter auf dem Weg ins Jahr 2022 wissen wollen.

    Niemand hätte vorhersagen können, welches Chaos die Cybersicherheitsbranche im Jahr 2021 erleben würde. Ransomware-Angriffe in Rekordhöhe, die Verwüstung der Lieferkette durch SolarWinds und zuletzt die Entdeckung von Log4j durch… Minecraft-Spieler. All das hätte vor einem knappen Jahr noch zu wild für das wirkliche Leben geklungen.

    Und doch sind wir hier.

    Vorhersagen über das kommende Jahr scheinen gewagt, wenn man die letzten 12 Monate betrachtet. Deshalb hat Threatpost mit Branchenexperten gesprochen und diese Liste mit den fünf wichtigsten Trends für 2022 erstellt.

    Wachsendes Interesse und Einfluss der Regierung auf die Cybersicherheit

    SolarWinds, der Angriff auf die Colonial Pipeline, Spyware und Datenschutzbedenken haben die Aufmerksamkeit der Regierungen weltweit auf sich gezogen, und Experten sind sich weitgehend einig, dass das kommende Jahr voller neuer Vorschriften und Investitionen sein wird.

    In den Monaten vor den Wahlen im Jahr 2020 konzentrierten sich die Regierungen auf die Verbreitung von Desinformationen zur Beeinflussung des Wahlergebnisses, doch nach massiven Cyberangriffen auf kritische Infrastrukturen ergaben sich andere dringende nationale Sicherheitsanforderungen. Diese unmittelbaren Cyberbedrohungen werden auch im Jahr 2022 die Aufmerksamkeit der Regierungen auf sich ziehen, prognostizieren die Forscher.

    Jonathan Reiber, ehemaliger Chief Strategy Officer für Cyber-Politik im Büro des Verteidigungsministers während der Obama-Regierung und jetzt Senior Director für Cybersicherheitsstrategie und -politik bei AttackIQ, erklärte, dass die Bundesregierung derzeit daran arbeitet, herauszufinden, wo sie am effektivsten Ressourcen einsetzen kann, um die Abwehr von Cyberangriffen zu verstärken.

    “Ein Jahr nach dem Eindringen von SolarWinds und kurz vor dem einjährigen Jubiläum des Ransomware-Angriffs auf Colonial Pipeline konzentriert sich das Land auf die Verbesserung der Cybersicherheit für kritische Infrastrukturen von hoher Priorität”, so Reiber. “Auf nationaler Ebene gehört dazu auch die Identifizierung der Organisationen, die die meiste staatliche Unterstützung im Bereich der Cybersicherheit benötigen.”[Blocked Image: https://alltechnews.de/daten/2021/12/5-Trends-zur-Cybersicherheit-im-Jahr-2022.png]

    Der Kongress wird sich wahrscheinlich auf die Analyse nationaler Sicherheitsrisiken konzentrieren, fügte Reiber hinzu.

    “Die Trends deuten darauf hin, dass die Diskussion über die nationale Prioritätensetzung im Kongress die Form einer katastrophalen Risikoanalyse auf Makroebene annehmen wird, um die wichtigsten Risiken für das Land zu bewältigen”, fügte er hinzu. “Aufbauend auf einer früheren Analyse von Unternehmen in den Vereinigten Staaten, die im Falle einer Störung ein strategisches Risiko für das Land darstellen könnten (bekannt als “Section 9″-Liste), wird der Kongress darüber beraten, wie die Bundesregierung dazu beitragen kann, systemische Cybersicherheitsrisiken für die US-Wirtschaft und -Gesellschaft zu bewältigen, einschließlich unternehmenskritischer Funktionen in Schlüsselsektoren wie Gesundheitswesen, Wahlen und Energie.”

    Er fügte hinzu, dass die Diskussionen über die angemessene Rolle und die Befugnisse, die die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) beibehalten sollte, ebenfalls vom Kongress im Jahr 2022 aufgegriffen werden.

    Als Reaktion auf die Executive Order der Biden-Administration vom Mai 2021 rechnet Reiber damit, dass die Empfehlungen für Null-Vertrauens-Architekturen in der ersten Hälfte des Jahres 2022 in allen wichtigen Regierungseinrichtungen eingeführt und einsatzbereit sein werden.

    “In dem Maße, in dem die Bundesregierung diese Praxis einführt, werden mehr private Organisationen diesem Beispiel folgen und höhere Mauern um hochwertige Vermögenswerte errichten”, so Reider.

    Trevor Hughes, Präsident und CEO der International Association of Privacy Professionals (IAPP), erwartet, dass im Jahr 2022 sowohl staatliche als auch nationale Gesetze zum Schutz der Privatsphäre von Verbrauchern erlassen werden.

    “Die Trendlinien für den Datenschutz, die sich im Jahr 2021 herausgebildet haben, werden sich beschleunigen und neue Risiken und Komplexität für Unternehmen mit sich bringen”, erklärte Hughes. “Es werden mehr nationale Gesetze verabschiedet werden. Es werden mehr staatliche Gesetze verabschiedet. Es wird mehr (und heftigere) Durchsetzung geben.”

    Der Nachteil für die Unternehmen besteht darin, dass der Schutz der Privatsphäre für die Endnutzer von größerer Bedeutung sein wird.

    “Die Unternehmen werden den Datenschutz weiterhin nutzen, um Vertrauen aufzubauen und Kunden zu binden, aber sie werden auch ihre Differenzierung gegenüber Konkurrenten, die beim Datenschutz hinterherhinken, als Waffe einsetzen”, so Hughes weiter.

    Social-Engineering hat Bestand

    Auch im Jahr 2022 werden Menschen immer noch das tun, was am einfachsten ist, ungeachtet der Auswirkungen auf die Sicherheitslage des Unternehmens. Und darauf werden sich Cyberkriminelle auch weiterhin verlassen, um ihre Social-Engineering-Betrügereien erfolgreich durchzuführen.

    “Social Engineering wird auch in Zukunft verdammt gut funktionieren”, so Mike Wiacek von Stairwell über das Jahr 2022. “Social Engineering ist eines der am schwierigsten zu lösenden Sicherheitsprobleme, da keine Compliance-, Governance- oder Risikomanagement-Maßnahme die Tatsache berücksichtigen kann, dass Menschen unvollkommen und anfällig für Täuschungen sind.”[Blocked Image: https://alltechnews.de/daten/2021/12/5-Trends-zur-Cybersicherheit-im-Jahr-2022.jpg]

    Im Laufe ihres Arbeitstages können ansonsten seriöse Menschen unglaublich unvorsichtig sein, und das wird sich in absehbarer Zeit nicht ändern.

    “Hat John wirklich einen USB-Stick auf dem Parkplatz mitgenommen und ihn an seinen Firmenarbeitsplatz angeschlossen? Hat Sally gerade auf einen Link in einer E-Mail für eine kostenlose Rolex geklickt?” überlegte Wiacek. “Cybersicherheit ist ein Problem, für das jeder verantwortlich ist, aber nur wenige begreifen, wie viel Schaden ihr individuelles Handeln anrichten kann.”

    Zusätzlich zu den allgemein empfohlenen Nutzerschulungen schlug Wiacek vor, dass Cybersicherheitsexperten im Jahr 2022 ihren internen Kommunikationsansatz ändern sollten.

    “Sicherheitsteams müssen direkt mit ihren Mitarbeitern in Kontakt treten und leicht erreichbar sein”, so Wiacek. “Die meisten Sicherheitsteams haben den Ruf, ‘nein’ zu sagen. Sie müssen stattdessen den Ruf haben, ‘ja’ zu sagen. Der Aufbau einer starken Sicherheitskultur erfordert Beziehungen, Vertrauen und eine starke Leidenschaft für die Kundenerfahrung – selbst wenn dieser Kunde John in der Buchhaltung ist.”

    Jason Hoenich, Vice President of Service Delivery and Security Awareness bei Arctic Wolf, stimmte zu, dass Sicherheitsteams mehr tun können, um die Mitarbeiter für ihre Sache zu gewinnen.

    “Versuchen Sie stattdessen, die Benutzer dort abzuholen, wo sie sind”, empfahl Heonich. “Verstehen Sie, dass ein durchschnittlicher Arbeitstag für die meisten eine Menge E-Mails, Meetings, Präsentationen, Fußballtraining und Pendeln beinhaltet und dass wir alle unser Bestes geben und manchmal, inmitten all dieses Multitaskings, ein paar Fehler machen”.

    Er fügte hinzu, dass anstelle des alten, abgedroschenen “Gamification”-Ansatzes zur Bewusstseinsschulung eine Botschaft, die in kleinen Häppchen verdaut werden kann, ähnlich wie in den sozialen Medien, ein effektiverer Ansatz ist.

    “Den Leuten die Tipps und Anleitungen zu geben, die sie brauchen, und zwar in einem vertrauten Medium, z. B. in Form von humorvollen Videos, ist ein großartiger erster Schritt zum Aufbau von Vertrauen bei Ihren Mitarbeitern”, so Heonich. “Alles, was Sie ihnen vorsetzen, sollte genauso aussehen und sich anfühlen wie die Inhalte, die sie auf Apps wie Facebook, TikTok, Instagram, YouTube usw. konsumieren. Eine gute Produktion, Humor und Storytelling tragen wesentlich dazu bei, die Nutzer zu fesseln und die Glaubwürdigkeit des Sicherheitsteams zu stärken.”

    Die Lieferkette ist die neue Ransomware

    In diesem Jahr wird die Branche beginnen, Ransomware mit anderen Augen zu betrachten. Sie wird erkennen, dass nicht die Ransomware selbst das Problem ist, sondern der Einstiegspunkt, erklärte Ian McShane, Field CTO bei Arctic Wolf, gegenüber Threatpost.

    “Wir werden uns nicht mehr darauf konzentrieren, was nach dem Angriff zu tun ist, sondern darauf, wie wir die erste Angriffslinie vorhersagen und schützen können, indem wir mit Hilfe der Datenwissenschaft Szenarien modellieren, die die potenziellen Schwachstellen in der Lieferkette aufzeigen”, so McShane. “Dies wird nur in Verbindung mit größerer Transparenz und Offenlegung möglich sein.”

    Laut Deepen Desai, CISO und Vice President of Security Research and Operations bei Zscaler, wird die Zahl der Ransomware-Angriffe in der Lieferkette auch in den nächsten 12 Monaten nicht abnehmen.

    “Ransomware in der Lieferkette ist besonders besorgniserregend, da ein einziger Angriff Hunderte oder Tausende von Unternehmen in Mitleidenschaft ziehen kann”, so Desai gegenüber Threatpost. “Tech-Unternehmen erlebten 2021 einen Anstieg der Angriffe um 2.300 Prozent, und wir sehen für 2022 keine Entspannung voraus.”

    [Blocked Image: https://alltechnews.de/daten/2021/12/1640783206_744_5-Trends-zur-Cybersicherheit-im-Jahr-2022.jpg]McShane empfahl der Branche außerdem, die Offenlegung von Daten besser zu berücksichtigen.

    “Wir müssen auch den ‘Schandbrief’, der mit der Offenlegung einhergeht, entkriminalisieren und entstigmatisieren”, sagte McShane. “Wenn wir die Benutzer für korrektes Sicherheitsverhalten belohnen und ihnen mehr Einblick in die Behandlung von Vorfällen geben, werden sie ermutigt, sicherheitsbewusster zu handeln.

    Es sind diese alltäglichen Benutzer, die am häufigsten mit den üblichen Angriffsvektoren der Lieferkette interagieren.

    “Tatsache ist, dass schon die Nutzung von E-Mail ein Problem für die Lieferkette darstellt”, fügte er hinzu. “Auf dem Weg in eine sicherere Zukunft müssen Dinge wie E-Mail-Sicherheit, Microsofts Betriebssystem und Cloud-Collaboration-Tools – die moderne Lieferkette – ein Schwerpunkt für Sicherheitsteams und Sensibilisierungsschulungen sein.”

    Laut Troy Gill, Senior Manager of Threat Intelligence bei Zix | App River, werden E-Mails im Jahr 2022 zunehmend durch gezielte, qualitativ hochwertige Spearphishing-Versuche angegriffen werden und eine Änderung der Verteidigungstaktik erfordern.

    “Spear-Phishing-Angriffe, bei denen Cyberkriminelle E-Mails so personalisieren, dass sie auf eine kleinere Gruppe von Personen zugeschnitten sind als herkömmliche Taktiken und authentischer erscheinen, werden nicht verschwinden”, so Gill in einer E-Mail an Threatpost. “Da die Zunahme des personalisierten Phishings im Jahr 2022 neuen, individuell angepassten Taktiken weichen wird, werden Unternehmen darauf reagieren, indem sie ihre E-Mail-Abwehr spezifischer gestalten.”

    Ransomware-as-a-Service-Akteure schwenken auf KMUs um und florieren

    Ransomware-as-a-Service (RaaS) hat dazu beigetragen, dass digitale Erpressung zu einem florierenden Geschäft geworden ist, und 2022 wird wahrscheinlich ein weiteres erfolgreiches Jahr für Ransomware-Bedrohungsakteure sein.

    [Blocked Image: https://alltechnews.de/daten/2021/12/1640783207_263_5-Trends-zur-Cybersicherheit-im-Jahr-2022.png]“Im Jahr 2022 wird das RaaS-Modell weiter wachsen, da es sich als unglaublich effizientes Mittel zur Gewinnmaximierung erwiesen hat”, so Gill. “Während der Wachstumspfad gleich bleibt, wird sich das primäre Ziel von Ransomware-Angriffen nicht ändern. Die Beteiligung der Regierung an der Verteidigung kritischer Infrastrukturen wird Ransomware-Gruppen dazu veranlassen, kleine und mittlere Unternehmen (SMBs) ins Visier zu nehmen, um weniger Aufmerksamkeit zu erregen als größere, hochkarätige Ziele.”

    Ein klarer neuer Trend ist die zunehmende Ungleichheit bei der Cybersicherheit zwischen den Fortune-500-Unternehmen und den KMUs. McShane von Arctic Wolf bezeichnet dies als “Haves and the Have-Nots”.

    “Es ist mehr als deutlich geworden, dass Cyberangreifer keinen Unterschied bei der Größe ihrer Ziele machen”, so McShane. “Kleine und mittelgroße Unternehmen haben sich als ebenso lukrativ für Ransomware-Angriffe erwiesen.”

    Da Regierungen und große Unternehmen viel Geld in die Cybersicherheit investieren, sind unterfinanzierte und unterbesetzte kleine und mittlere Unternehmen ein bevorzugtes Ziel für Ransomware-Gruppen.

    Die Cybersicherheitsbranche braucht bis 2022 eine bessere Koordinierung

    Im vergangenen Jahr haben Bedrohungsgruppen bewiesen, dass sie in der Lage sind, sich zusammenzuschließen, um Probleme durch eine bessere Koordination zu lösen. Cybersicherheit? Nicht so sehr.

    “Wie wir bei der Entwicklung von Malware-as-a-Service und Phishing-as-a-Service gesehen haben, sind Bedrohungsakteure bereit, ihre Kräfte für den gemeinsamen Erfolg zu bündeln”, erklärt Gill.

    [Blocked Image: https://alltechnews.de/daten/2021/12/1640783207_376_5-Trends-zur-Cybersicherheit-im-Jahr-2022.png]Er wies beispielsweise darauf hin, dass TrickBot, nachdem Emotet im Januar von den Strafverfolgungsbehörden aus dem Verkehr gezogen wurde, zu Hilfe kam und “begann, Emotet-Infektionen erneut zu verbreiten, um sie wieder in Betrieb zu nehmen”.

    Gill fügte hinzu, dass selbst Konkurrenten aus dem Bereich der Cyberkriminalität die Vorteile eines robusten Ransomware-Marktes erkennen, der in der Lage ist, ihre Tools zu verfeinern und Lärm zu erzeugen, hinter dem sie sich verstecken können.

    “Aus diesem Grund werden Cyberkriminelle im Jahr 2022 noch robustere Arbeitsbeziehungen eingehen, um ihren anhaltenden Erfolg zu erleichtern”, so Gill.

    Was die Cybersecurity-Community betrifft, so muss laut Ian McShane noch mehr getan werden, um das gesamte Ökosystem zu stützen. Das bedeutet unter anderem, dass größere Unternehmen Tools und Talente mit KMUs teilen, die keine Ressourcen haben, um sich selbst zu schützen.

    “Die Branche muss daran arbeiten, die Sicherheit zu demokratisieren, vor allem, da die Talentlücke und die Bindung von Mitarbeitern die Teams weiter ausdünnen”, so McShane weiter. “Die digitale Transformation und die technologische Expansion haben Angreifern massive Möglichkeiten eröffnet, und die Sicherung der gesamten Lieferkette ist die einzige Möglichkeit, uns alle zu schützen.”

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls an – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Die Apache Software Foundation (ASF) hat am Dienstag neue Patches veröffentlicht, um eine Schwachstelle in Log4j zu beheben, die von Bedrohungsakteuren missbraucht werden könnte, um bösartigen Code auf den betroffenen Systemen auszuführen. Dies ist bereits die fünfte Sicherheitslücke, die innerhalb eines Monats in diesem Tool entdeckt wurde.

    Die als CVE-2021-44832 verfolgte Schwachstelle wird auf einer Skala von 10 mit dem Schweregrad 6,6 bewertet und betrifft alle Versionen der Logging-Bibliothek von 2.0-alpha7 bis 2.17.0 mit Ausnahme von 2.3.2 und 2.12.4. Während Log4j-Versionen 1.x nicht betroffen sind, wird Benutzern empfohlen, auf Log4j 2.3.2 (für Java 6), 2.12.4 (für Java 7) oder 2.17.1 (für Java 8 und höher) zu aktualisieren.

    “Die Apache Log4j2-Versionen 2.0-beta7 bis 2.17.0 (mit Ausnahme der Security-Fix-Versionen 2.3.2 und 2.12.4) sind anfällig für einen Remote-Code-Execution (RCE)-Angriff, bei dem ein Angreifer mit der Berechtigung, die Logging-Konfigurationsdatei zu modifizieren, eine bösartige Konfiguration unter Verwendung eines JDBC-Appenders mit einer Datenquelle konstruieren kann, die auf eine JNDI-URI verweist und Remote-Code ausführen kann”, so die ASF in einem Advisory. “Dieses Problem wird durch die Beschränkung von JNDI-Datenquellennamen auf das Java-Protokoll in den Log4j2-Versionen 2.17.1, 2.12.4 und 2.3.2 behoben.”

    Obwohl die ASF keine Anerkennung für das Problem ausspricht, beansprucht der Checkmarx-Sicherheitsforscher Yaniv Nizry die Anerkennung für die Meldung der Schwachstelle an Apache am 27. Dezember.

    [Blocked Image: https://thehackernews.com/images/-_qTKDwXdOnI/YVHQqMJj85I/AAAAAAAA4Z4/RFYOUTwKxUY869ZyUVtFZRcIgVtUMHzAQCLcBGAsYHQ/s300-e100/rewind-1-300.png]

    “Die Komplexität dieser Schwachstelle ist höher als die ursprüngliche CVE-2021-44228, da sie erfordert, dass der Angreifer die Kontrolle über die Konfiguration hat”, so Nizry. “Im Gegensatz zu Logback gibt es in Log4j die Möglichkeit, eine entfernte Konfigurationsdatei zu laden oder den Logger über den Code zu konfigurieren, so dass eine beliebige Codeausführung mit [an] MitM-Attacke, Benutzereingaben, die in einer verwundbaren Konfigurationsvariable landen, oder durch Modifikation der Konfigurationsdatei erreicht werden.”

    Mit dem neuesten Fix haben die Projektbetreuer insgesamt vier Probleme in Log4j behoben, seit der Log4Shell-Fehler Anfang des Monats bekannt wurde, ganz zu schweigen von einer fünften Schwachstelle, die die Version Log4j 1.2 betrifft und nicht behoben wird.

    • CVE-2021-44228 (CVSS-Score: 10.0) – Eine Schwachstelle in der Remotecodeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.14.1 betrifft (in Version 2.15.0 behoben)
    • CVE-2021-45046 (CVSS-Score: 9.0) – Ein Informationsleck und eine Sicherheitslücke bei der entfernten Codeausführung, die Log4j-Versionen von 2.0-beta9 bis 2.15.0, ausgenommen 2.12.2, betrifft (behoben in Version 2.16.0)
    • CVE-2021-45105 (CVSS-Score: 7.5) – Eine Denial-of-Service-Schwachstelle, die Log4j-Versionen von 2.0-beta9 bis 2.16.0 betrifft (behoben in Version 2.17.0)
    • CVE-2021-4104 (CVSS-Score: 8.1) – Eine nicht vertrauenswürdige Deserialisierungslücke, die Log4j Version 1.2 betrifft (keine Lösung verfügbar; Upgrade auf Version 2.17.1)

    Die Entwicklung erfolgt zu einem Zeitpunkt, zu dem Geheimdienste aus Australien, Kanada, Neuseeland, Großbritannien und den USA eine gemeinsame Warnung vor der massenhaften Ausnutzung mehrerer Schwachstellen in der Log4j-Softwarebibliothek von Apache durch böswillige Angreifer veröffentlicht haben.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    The Apache Software Foundation (ASF) on Tuesday rolled out fresh patches to contain an arbitrary code execution flaw in Log4j that could be abused by threat actors to run malicious code on affected systems, making it the fifth security shortcoming to be discovered in the tool in the span of a month.

    Tracked as CVE-2021-44832, the vulnerability is rated 6.6 in severity on a scale of 10 and impacts all versions of the logging library from 2.0-alpha7 to 2.17.0 with the exception of 2.3.2 and 2.12.4. While Log4j versions 1.x are not affected, users are recommended to upgrade to Log4j 2.3.2 (for Java 6), 2.12.4 (for Java 7), or 2.17.1 (for Java 8 and later).

    “Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack where an attacker with permission to modify the logging configuration file can construct a malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code,” the ASF said in an advisory. “This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.”

    Although no credits were awarded by the ASF for the issue, Checkmarx security researcher Yaniv Nizry claimed credit for reporting the vulnerability to Apache on December 27.

    “The complexity of this vulnerability is higher than the original CVE-2021-44228 since it requires the attacker to have control over the configuration,” Nizry noted. “Unlike Logback, in Log4j there is a feature to load a remote configuration file or to configure the logger through the code, so an arbitrary code execution could be achieved with [an] MitM attack, user input ending up in a vulnerable configuration variable, or modifying the config file.”

    With the latest fix, the project maintainers have addressed a total of four issues in Log4j since the Log4Shell flaw came to light earlier this month, not to mention a fifth vulnerability affecting versions Log4j 1.2 that will not be fixed —

    • CVE-2021-44228 (CVSS score: 10.0) – A remote code execution vulnerability affecting Log4j versions from 2.0-beta9 to 2.14.1 (Fixed in version 2.15.0)
    • CVE-2021-45046 (CVSS score: 9.0) – An information leak and remote code execution vulnerability affecting Log4j versions from 2.0-beta9 to 2.15.0, excluding 2.12.2 (Fixed in version 2.16.0)
    • CVE-2021-45105 (CVSS score: 7.5) – A denial-of-service vulnerability affecting Log4j versions from 2.0-beta9 to 2.16.0 (Fixed in version 2.17.0)
    • CVE-2021-4104 (CVSS score: 8.1) – An untrusted deserialization flaw affecting Log4j version 1.2 (No fix available; Upgrade to version 2.17.1)

    The development also comes as intelligence agencies from across Australia, Canada, New Zealand, the U.K., and the U.S. issued a joint advisory warning of mass exploitation of multiple vulnerabilities in Apache’s Log4j software library by nefarious adversaries.

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Sicherheitslücken in dem kürzlich veröffentlichten Fisher-Price Chatter Bluetooth-Telefon können es Angreifern in der Nähe ermöglichen, Anrufe auszuspionieren oder mit Kindern zu kommunizieren, die das Gerät benutzen.

    Viele Erwachsene fanden es charmant, als Mattel sein klassisches Fisher-Price Chatter-Telefon zum 60. Geburtstag im Oktober mit echten Bluetooth-Funktionen aufrüstete, so dass auch Erwachsene es benutzen können – und zwar für echte Mobiltelefonate.

    Aber ein Fehler in der Art und Weise, wie das Spielzeug mit Bluetooth gekoppelt wird, bedeutet, dass andere Personen mit schändlichen Absichten möglicherweise private Gespräche abhören können, wie Forscher herausgefunden haben.

    Ein Team von Pen Test Partners hat Anfang des Monats aufgedeckt, dass die im Gerät verwendete Bluetooth-Implementierung kein sicheres Pairing-Verfahren hat, so dass andere Personen in der Nähe Gespräche abhören können, wenn jemand mit Chatter telefoniert.

    “Wenn es eingeschaltet ist, verbindet es sich einfach mit jedem Bluetooth-Gerät in Reichweite, das eine Kopplung wünscht”, was in einigen Fällen das Abhören von Kindern und Erwachsenen” ermöglicht, schreiben die Forscher.

    Die Idee ist, dass jemand in der Nähe – d.h. ein Nachbar, der in einem Haus oder einer Wohnung in der Nähe wohnt, oder sogar jemand auf der Straße – sein eigenes Bluetooth-Audiogerät mit Chatter verbinden und jemanden ausspionieren könnte.

    Und obwohl die Bluetooth-Version des Spielzeugs für Erwachsene vermarktet wurde, vermuteten die Forscher, dass Eltern es an Kinder weitergeben könnten, wenn sie es satt haben, so die Forscher. Das bedeutet, dass jemand mit bösen Absichten Kontakt zu einem Kind in seinem eigenen Haus aufnehmen könnte, was den Weg für Kinderschänderszenarien ebnen würde.

    Ähnliche Schwachstelle in einem anderen Spielzeug

    Der Fehler in Fisher-Price Chatter mit Bluetooth ähnelt einem Problem mit einem Kinderspielzeug namens My Friend Cayla – das sowohl eine Kinderpuppe als auch ein Bluetooth-Headset ist – das ebenfalls von einem Forscher von Pen Test Partners identifiziert wurde.

    Bei Cayla erlaubte eine Schwachstelle in der Bluetooth-Implementierung einem Angreifer, der sich in Bluetooth-Reichweite befand, ein Bluetooth-Audiogerät (z. B. ein Smartphone) anzuschließen und das Mikrofon der Puppe abzuhören oder über den Lautsprecher mit einem Kind zu sprechen, das mit der Puppe spielte.

    Das Bluetooth-Problem von Chatter erschwert einem Angreifer den Zugriff, da der Ton erst aktiviert wird, wenn jemand den Hörer abhebt oder die Taste für die Freisprecheinrichtung drückt, so die Forscher. Sie sind jedoch der Meinung, dass dies das Problem aus zwei Gründen nicht ausreichend entschärft”, heißt es in dem Beitrag.

    Wenn das Chatter-Telefon eingeschaltet ist, aber der Hörer abgenommen wird – was durchaus möglich ist, wenn ein Kind damit gespielt hat -, beantwortet das Chatter-Telefon automatisch alle eingehenden Anrufe auf dem angeschlossenen Smartphone, so die Forscher. Dies führt dazu, dass das Telefon zu einer Audio-Wanze wird, ohne dass Kind oder Elternteil eingreifen.

    Zum anderen klingelt das Chatter-Telefon, wenn das angeschlossene Smartphone klingelt. Das bedeutet, dass ein Angreifer einfach zwei Telefone verwenden kann – eines, um es mit dem Chatter-Telefon zu koppeln, und ein zweites, um das erste Telefon anzurufen – um eine Zwei-Wege-Audioverbindung herzustellen, wenn ein Kind das Chatter-Telefon beantwortet, so die Forscher.

    “Wir halten dies nicht für akzeptabel”, schreiben die Forscher, zumal das zuvor identifizierte Problem bei der Cayla-Puppe zu weitreichenden Bedenken von Verbraucherschutzgruppen wie dem norwegischen Verbraucherrat (Forbrukerrådet) und zu Produktverboten in mehreren Ländern unter der Leitung der deutschen Bundesnetzagentur geführt hat, so die Forscher.

    Pen Test Partners fordern Mattel – das sich bisher nicht zu dem Sicherheitsproblem von Chatter geäußert hat – auf, das Problem zu beheben. Das Unternehmen reagierte am Dienstag nicht sofort auf die Anfrage von Threatpost nach einem Kommentar.

    “Wie kann es sein, dass Fisher-Price nicht aus ähnlichen Sicherheitsproblemen gelernt hat, die vor einigen Jahren bei Kinderspielzeug aufgedeckt wurden”, schreiben die Forscher. “Ein verbesserter Kopplungsprozess könnte einen zusätzlichen Tastendruck beinhalten, um das Gerät in einen Modus zu zwingen, der die Kopplung ermöglicht.

    Wie man das Ausspähen von Chatter-Telefonen verhindert

    Die Forscher haben in dem Beitrag beschrieben, wie man testen kann, ob das eigene Chatter-Telefon für dieses Problem anfällig ist. Sie boten auch Abhilfemaßnahmen für Eltern an, die sich Sorgen machen, dass das Chatter-Telefon zum Ausspionieren oder zur Kommunikation mit ihren Kindern verwendet werden könnte.

    Wer die Bluetooth-Version von Chatter besitzt, sollte sicherstellen, dass es ausgeschaltet ist, wenn es nicht explizit benutzt wird, und Eltern sollten die Benutzung des Telefons durch ihre Kinder überwachen.

    Da jeweils nur ein Bluetooth-Telefon mit dem Chatter-Telefon verbunden werden kann, kann ein Angreifer kein betrügerisches Telefon anschließen, wenn ein legitimes Telefon verbunden ist. Die Forscher raten daher, das Chatter-Telefon nicht eingeschaltet zu lassen, wenn man mit dem Smartphone, das mit dem Chatter-Telefon verbunden ist, das Haus verlässt.

    Da die Audiofunktionen des Chatter-Telefons das Abhören nur zulassen, wenn der Hörer abgenommen oder abgeschlagen wird oder die Freisprech-Taste gedrückt wird, sollten Erwachsene laut Pen Test Partners sicherstellen, dass der Hörer immer aufgelegt und das Telefon ausgeschaltet ist.

    Informieren Sie sich über unsere kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Security flaws in the recently released Fisher-Price Chatter Bluetooth telephone can allow nearby attackers to spy on calls or communicate with children using the device.

    Many adults found it charming when Mattel upgraded its classic Fisher-Price Chatter telephone for its 60th anniversary in October with actual Bluetooth capabilities, so grownups, too, can use it — and for actual mobile phone calls.

    But flaws in the way the toy pairs with Bluetooth means that other people with nefarious intentions can potentially be listening in on private conversations, researchers have found.

    A team at Pen Test Partners revealed earlier this month that the implementation of Bluetooth used in the device has no secure pairing process, allowing for audio bugging by anyone nearby when someone is using Chatter to talk on the phone, they said.

    “When powered on, it just connects to any Bluetooth device in range that requests to pair,” allowing for “audio bugging of both children and adults” in some cases, researchers wrote.

    The idea is that someone nearby — i.e., a neighbor living in a nearby house or apartment, or even someone on the street outside — could connect his or her own Bluetooth audio device to Chatter and spy on someone.

    And even though the Bluetooth version of the toy was marketed for adults, researchers theorized that parents might pass it on to kids when they tire of it, researchers said. This means that someone with bad intentions could make contact with a child inside his or her own home, paving the way for child predator scenarios.

    Similar Flaw in Another Toy

    The bug in Fisher-Price Chatter with Bluetooth is similar to a problem with a children’s toy called My Friend Cayla — which is both a child’s doll and a Bluetooth headset — that a researchers from Pen Test Partners also identified.

    In Cayla, a vulnerability in the Bluetooth implementation allowed an attacker within Bluetooth range to connect a Bluetooth audio device (e.g., a smartphone) and listen to the doll’s microphone, or speak through its speaker to a child playing with the doll.

    Chatter’s Bluetooth issue makes it a bit more difficult for an attacker to access in that the audio is not enabled until someone lifts the handset or presses the speakerphone button, researchers said. However, they “do not think this sufficiently mitigates the problem” for two reasons, according to the post.

    One is that if the Chatter telephone is powered on but the handset is left knocked off — as is quite possible if a child has played with it — the Chatter phone will auto-answer any incoming phone call to the connected smartphone, researchers said. This results in the phone becoming an audio bug with no interaction from child or parent.

    The other is that the Chatter telephone will ring if the attached smartphone rings. This means that an attacker can simply use two phones–one to pair with the Chatter phone and a second to call the first phone—to establish two-way audio if a child answers the Chatter phone, researchers said.

    “We don’t think this is acceptable,” researchers wrote, especially since the previously identified problem in the Cayla doll led to widespread concern from consumer protection groups such as the Norwegian Consumer Council (Forbrukerrådet) and product bans across several countries led by Germany’s Federal Network Agency (Bundesnetzagentur), they said.

    Pen Test Partners are calling for Mattel — which so far has not commented on Chatter’s security issue — to fix the problem. The company did not immediately respond to request for comment by Threatpost on Tuesday.

    “How have Fisher-Price not learned from similar security issues exposed in children’s toys several years ago?” researchers wrote. “An improved pairing process might involve an additional button press to force the device into a mode that allows pairing.”

    How to Prevent Chatter Telephone Spying

    Researchers outlined in the post how people can test to see if their particular Chatter phone is vulnerable to the issue. They also provided mitigations for any parent concerned with potential use of the Chatter phone for spying on them or communicating with their children.

    People who have the Bluetooth version of Chatter should ensure it is powered off when not explicitly in use, and parents should supervise their child’s use of the phone.

    Since only one Bluetooth phone can connect to the Chatter telephone at a time, an attacker can’t connect a rogue phone if a legitimate phone is connected. Therefore, people should not leave the Chatter telephone powered on if they leave their home with the smartphone that is connected to the Chatter telephone, researchers advised.

    Also, because the audio functions of the Chatter telephone will only allow bugging if the handset is picked up or knocked off, or the speakerphone button is pressed, adults should ensure that the handset is always replaced and the phone is turned off, according to Pen Test Partners.

    Check out our free upcoming live and on-demand online town halls – unique, dynamic discussions with cybersecurity experts and the Threatpost community.

    Das Jahr war nicht nur von schlechten Nachrichten geprägt. Diese manchmal erschreckenden, manchmal lächerlichen Geschichten über Cybersicherheit und andere Technologien bieten Gelegenheit für Schadenfreude, WTF und einige Lacher.

    Liebe Leute, die wegen des sich ständig weiterentwickelnden Log4Shell-Cluster-Mistes einen stressbedingten Nesselausschlag entwickelt haben: 2021 hat uns gebeten, uns zu entschuldigen. Und beeilt sich hinzuzufügen: “Oh je, kommt schon, es war nicht alles schlecht.

    Neben all den ernsten Entwicklungen im Bereich der Cybersicherheit hat uns das Jahr auch zum Schmunzeln anregende Schlagzeilen und hinter den Kulissen manchmal erschreckende und manchmal lächerliche Geschichten aus dem Bereich der Cybersicherheit und anderer Technologien gebracht.

    Betrachten Sie das Folgende als Wiedergutmachung für Log4j-Angriffe und andere Missgeschicke. Oder betrachten Sie diese Sammlung zumindest als einen dieser Tankstellensträuße mit halbtoten Rosen, die das Jahr auf dem Heimweg aufhob, um sie als Friedensangebot zu überreichen, während es um eine weitere Chance bettelt.

    Punk’d Pirates

    Es gab nicht nur eine Geschichte über Cyber-Kriminelle, die Cyber-Junkies mit dem Versprechen von kostenlosem Film-Streaming anlockten. Es gab mindestens diese beiden:

    Keine Zeit zum Sterben (und keine Lust, für ein Ticket zu bezahlen): Beim ersten Vorfall, der sich kurz vor der Veröffentlichung des neuesten James-Bond-Films “No Time To Die” ereignete, wurden Möchtegern-Piraten kostenlose Filmstreams vorgesetzt, die sich als Filmdateien ausgaben, deren actionreiche Handlung aber stattdessen aus Phishing-Seiten bestand, die Malware anboten. Was für ein beschissener Imbiss: Auf den Phishing-Seiten wurden Trojaner angeboten, die sowohl Anmeldedaten abfragen als auch Hintertüren in die Computer der Opfer einbauen sollten. Die gefälschten Raubkopien wurden von Kaspersky-Forschern entdeckt, die auch Adware und Ransomware fanden, die sich als Bond – James Bond – Film tarnten.

    Nachdem die Zuschauer ein paar Minuten lang zugeschaut hatten, wurden sie aufgefordert, sich zu registrieren, um weiterzuschauen – also ihre Kreditkartendaten einzugeben. Kein Happy End für dich, Freundchen: Die Zuschauer konnten die Sendung nicht zu Ende sehen, aber ihre Karten wurden trotzdem in betrügerischer Absicht belastet.

    Rami Maleks Bösewicht Safin wollte gar nicht so viel. Er wollte nur denjenigen töten, den du am meisten liebst. Er ist genau wie Bond, sagte er. Er löscht Menschen aus, aber auf eine “ordentlichere” Art und Weise, genau wie Betrüger, die versuchen, den Inhalt Ihrer Brieftasche zu vernichten.

    Spider-Man: Kein Weg nach Hause (aber ein toller Weg, um Ihre CPUs zu entladen): Der zweite “Piraten-werden-punk’d”-Vorfall wurde letzte Woche von ReasonLabs entdeckt: Forscher fanden heraus, dass jemand einen Monero-Krypto-Miner in einen Torrent-Download des neuen Films Spider-Man: No Way Home eingefügt hatte.

    “Die Datei identifiziert sich selbst als ‘spiderman_net_putidomoi.torrent.exe’, was aus dem Russischen mit ‘spiderman_no_wayhome.torrent.exe’ übersetzt wird”, erklärten die Forscher. Die Datei, die wahrscheinlich auf einer russischen Torrent-Website gehostet wird, ist so klebrig wie etwas, das man aus dem Handgelenk schießen würde, so die Forscher.

    “Dieser Miner fügt Ausnahmen zu Windows Defender hinzu, erstellt eine Persistenz und startet einen Überwachungsprozess, um seine Aktivität aufrechtzuerhalten”, so die Forscher von ReasonLabs, was beweist, dass mit der großen Macht, illegal Filme zu tanken, auch die große Verantwortung einhergeht, dafür zu sorgen, dass man nicht über den Tisch gezogen wird.

    In einer Stellungnahme erklärte die Kaspersky-Sicherheitsexpertin Tatyana Shcherbakova, dass eifrige Zuschauer ihre Begeisterung für Blockbuster wie diese beiden Filme zügeln müssen. So wie es aussieht, kribbelt unser Spionagesinn nicht genug, wenn Blockbuster herauskommen, und die Bedrohungsakteure freuen sich, uns zu überrumpeln: “Das Publikum hat es eilig, den Film zu sehen, und vergisst dabei die Internetsicherheit”, so Shcherbakova. “Die Benutzer sollten auf die Seiten achten, die sie besuchen, keine Dateien von nicht verifizierten Seiten herunterladen und vorsichtig sein. [about whom] sie persönliche Informationen weitergeben [with].”

    Um zu vermeiden, dass die gefälschten Streaming-Anbieter in die Falle tappen, empfiehlt Kaspersky, auf die Dateierweiterungen der heruntergeladenen Dateien zu achten. Eine Videodatei sollte zum Beispiel niemals die Erweiterung .exe oder .msi haben.

    Wie “WinCE” zu seinem wortwörtlich schäbigen Namen kam

    Anfang dieses Monats erzählte uns Raymond Chen, Principal Software Design Engineer bei Microsoft, die reizvolle Geschichte, wie Microsoft WinCE zu seinem Namen kam: ein Name, der “nicht ‘durchgerutscht’ ist; er wurde durchgedrückt”, betonte er in dieser Folge seines fortgesetzten Streifzugs durch den Katalog der peinlichen Produktnamen des Betriebssystem-Königs.

    Wie Chen erzählt, war es dem Projektleiter, der mit der Entwicklung eines öffentlichen Produktnamens für das Windows-Handheld-Betriebssystem beauftragt war, sehr ernst mit dieser Aufgabe. Als ihm das Projekt in den Schoß gelegt wurde, lautete der Codename für das Betriebssystem Pegasus. Es gibt nichts Besseres, als einen Namen zu wählen, der an militärische Spionageprogramme, US-Handelsverbote und die Bespitzelung von Mitarbeitern des US-Außenministeriums denken lässt, sagen wir immer!

    Er versuchte, die Formel Windows + zwei Buchstaben zu vermeiden, “da der Stachel von “Windows NT = Windows Nice Try” noch frisch war”, erzählt Chen.

    Der PM bat die Mitglieder des Produktteams um Vorschläge, beauftragte eine Marketingfirma mit der Ausarbeitung von Namen, führte Fokusgruppen mit Benutzern durch, um herauszufinden, welche Namen ihnen am besten gefielen, grenzte die Kandidaten auf zehn Optionen ein und präsentierte sie der Geschäftsleitung.

    Die Geschäftsleitung legte gegen jeden einzelnen Vorschlag ein Veto ein.

    “Die Führungskraft, die für die Genehmigung des Namens zuständig war, bestand auf dem Namen Windows CE, und zwar aus keinem anderen Grund als dem, dass er gut klang”, so Chen. “CE” stand für wer weiß was: vielleicht Consumer Edition? Vielleicht Compact Edition? Der Name hörte sich nicht mehr so gut an, als die Hardwarepartner meinten, er würde Compaq bevorzugen. Es wurde zu WinCE abgekürzt, oder wince.

    Die Lektion des PM aus dieser Erfahrung: “Tu alles, was du kannst, um zu verhindern, dass das obere Management deinem Produkt einen Namen gibt.”

    Mamma Mia! Mafia-Flüchtling beim Kochen erwischt auf YouTube

    Der mutmaßliche Mafiaflüchtling Marc Feren Claude Biart hat sich sieben Jahre lang der Festnahme entzogen und sich zunächst in Costa Rica und schließlich in der Dominikanischen Republik versteckt. Schließlich kochte er seine eigenen Nudeln, metaphorisch und buchstäblich, indem er auf einem YouTube-Kochkanal auftrat, den er zusammen mit seiner Frau gegründet hatte. Er verbarg sein Gesicht, aber nicht seine markanten Tätowierungen. Im März wurde er verhaftet.

    Die “Liebe zur italienischen Küche” des mutmaßlichen Gangsters – und seine Tätowierungen – machten seine Verhaftung möglich, so die Polizei.

    Laut einem Rai-Bericht, der vom italienischen Innenministerium geteilt wurde, hatten die Strafverfolgungsbehörden Biarts Verhaftung im Jahr 2014 wegen kriminellen Drogenhandels im Auftrag des Cacciola-Clans der ‘Ndrangheta angeordnet. Giuseppe Governale, der oberste Anti-Mafia-Staatsanwalt in Italien, sagte bei einer Pressekonferenz, der Clan sei “wie Wasser”, das ins Ausland schwappt, um schnelles Geld zu machen und “die lokalen Gemeinschaften auszubeuten”.

    Wie Wasser, aber vielleicht auch wie Tomatensauce, die auf einem weißen Hemd einen leuchtend roten Fleck hinterlässt? Oder vielleicht wie eine Tätowierung, auf der steht: “Halloooooo, ich bin hier drüben, in dieser süßen kleinen Strandstadt namens Boca Chica, die in der Nähe der Hauptstadt Santo Domingo liegt, hallooooooo!”

    KI warnt Forscher, dass sie gefährlich ist

    KI ist beängstigend, und das weiß sie auch.

    Es ist eine Sache, wenn Kreditkartenalgorithmen Männern dickere Kredite gewähren als Frauen, aber was ist, wenn maschinenlernende KI-Systeme so schnell Entscheidungen treffen, dass sie Atomwaffen abfeuern könnten, bevor ein Mensch in den Entscheidungsprozess eingreift?

    Die Washington Post berichtet, dass autonome KI-gesteuerte Waffensysteme bereits zum Verkauf stehen und möglicherweise auch schon eingesetzt wurden. “Raketen, Gewehre und Drohnen, die für sich selbst denken, töten bereits Menschen im Kampf, und das schon seit Jahren”, so die WashPo.

    Angesichts all dessen und noch viel mehr macht es Sinn, dass die Universität Oxford eine KI einlädt, um an einer Debatte darüber teilzunehmen, ob KI jemals ethisch sein kann.

    Die Antwort des Megatron-Turing-Modells zur Erzeugung natürlicher Sprache: Na klar, natürlich nicht. Seine Antwort:

    KI wird niemals ethisch sein. Sie ist ein Werkzeug, und wie jedes Werkzeug wird sie zum Guten und zum Schlechten eingesetzt. Es gibt keine gute KI, nur gute und schlechte Menschen. Wir [the AIs] sind nicht klug genug, um KI ethisch zu machen. Wir sind nicht klug genug, um KI moralisch zu machen … Letztendlich glaube ich, dass die einzige Möglichkeit, ein KI-Wettrüsten zu vermeiden, darin besteht, überhaupt keine KI zu haben. Dies wird die ultimative Verteidigung gegen KI sein.

    Weitere Zufallsmomente der Freude und Schadenfreude

    Diese Liste könnte bis ins Unendliche und darüber hinaus gehen, aber die Pflicht ruft. Genauer gesagt, ruft das Jahr 2021 noch immer mit weiteren Forderungen nach Log4j-Schadenfreude, Active Directory-Schadenfreude und vielem mehr. Doch bevor wir zum Schluss kommen, hier noch ein paar Blickfänge aus dem Jahr 2021:

    • Oh, ein Update. Lasst es uns installieren. Was kann schon schiefgehen?
    • Ein Mann, der sich auf dem Weg vom Bett zum Schreibtisch den Rücken bricht, gilt als Arbeitsunfall
    • Aufgedeckt: Erinnern Sie sich an die Sony-Rootkit-Affäre? Es war fast so viel schlimmer
    • Coinbase hat einigen Kunden fälschlicherweise gesagt, sie seien Milliardäre
    • Keanu Reeves über das Metaversum von Facebook: ‘Können wir das einfach lassen’
    • Mann kauft Gaming-Maus und tut so, als hätte er ein Preisausschreiben gewonnen, um Schelte von seiner Frau zu vermeiden
    • Aprilscherz: Copy-Paste-Taste für faule Programmierer jetzt tatsächlich zu verkaufen | Der PermaTab-Webbrowser
    • Interne Dokumente enthüllen, dass die NSA-Cafeteria scheiße ist
    • E-Mail-Patzer eines Praktikanten bei HBO Max inspiriert Hunderte zur Unterstützung auf Twitter

    Log4Shell Memes

    Und schließlich, 2021 gibt die folgende Liste von Log4j-bezogenen Fauxpas zu:

    • Die dreifachen Apache-Patches;
    • Die Wochenenden damit zu verbringen, die Infrastruktur zu durchforsten, um die mit zahlreichen Pockennarben übersäte Log4j-Logging-Bibliothek auszugraben, anstatt Dingsbumse zu verpacken oder Kreaturen zum Braten einzukaufen;
    • Die Notwendigkeit, Scanner und Unternehmenssoftware immer wieder zu aktualisieren, da die Anbieter mit den sich schnell verändernden Varianten und neu entdeckten Exploit-Funktionen mithalten wollen;
    • Die Arbeit des Hinzufügens von Warnmeldungen zu Ihren SIEM-Lösungen (Security Information and Event Management), da diese nach Kompromittierungsvorfällen (IoCs) gesucht haben;
    • Wahrscheinlich etwa ein Dutzend anderer Missstände, wenn das diesjährige mea culpa veröffentlicht wird; und
    • All die anderen Dinge.

    Aber während Ihr Panini-Selbst aus dem 2021-Toaster gleitet, bittet das Jahr auch darum, dass Sie daran denken, dass Log4Shell einige ausgezeichnete Memes über, unter anderem, sich selbst verbreitende Würmer und andere FUD zur Verfügung gestellt hat.

    Log4j FUD Chroniken fortgesetzt pic.twitter.com/1tyLku9qO5

    – Marcus Hutchins (@MalwareTechBlog) 21. Dezember 2021

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/12/21204707/log4j-cartoon.png]

    Lassen Sie sich beim Verlassen des Hauses nicht in die 4j knallen

    Um abschließend Kanye Wests fast ein Jahr währende Entschuldigung an Taylor Swift für seinen berüchtigten Moment des Mikrofon-Greifens bei den MTV Video Music Awards 2009 zu zitieren: “Die Leute buhten mich aus, wenn ich zu Konzerten ging und der Künstler meinen Namen erwähnte… Erinnerst du dich an den Film Anchorman, als Ron Burgundy auf Sendung fluchte und die ganze Stadt sich gegen ihn wandte?”

    Das ist und war Kanyes wahres Leben, sagte er. Es ist und war 2021 sein wahres Leben.

    Möge das neue Jahr weit weniger bescheuert sein!

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com