Posts by Cyber News

    Die Betreiber von BRATA haben die mobile Android-Malware erneut um weitere Funktionen erweitert, um ihre Angriffe auf Finanz-Apps noch unauffälliger zu gestalten.

    „In der Tat passt der Modus Operandi jetzt in ein Advanced Persistent Threat (APT) Aktivitätsmuster“, sagte das italienische Cybersecurity-Unternehmen Cleafy in einem Bericht letzte Woche. „Dieser Begriff wird verwendet, um eine Angriffskampagne zu beschreiben, bei der Kriminelle eine langfristige Präsenz in einem bestimmten Netzwerk aufbauen, um sensible Informationen zu stehlen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    BRATA ist ein Akronym für „Brazilian Remote Access Tool Android“ und wurde erstmals Ende 2018 in Brasilien entdeckt, bevor es im April letzten Jahres erstmals in Europa auftauchte, wo es sich als Antiviren-Software und andere gängige Produktivitäts-Tools tarnte, um Benutzer zum Herunterladen zu verleiten.

    Bei der Änderung des Angriffsmusters, das Anfang April 2022 einen neuen Höchststand erreichte, wird die Malware so angepasst, dass sie jeweils ein bestimmtes Finanzinstitut angreift und erst dann zu einer anderen Bank wechselt, wenn das Opfer beginnt, Gegenmaßnahmen gegen die Bedrohung zu ergreifen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhuebBNoZHxWNvELRc6OHvz1jX2cUDMJUoLCOxGX2eSxc-wr_Dfmsb7XvGxy00EZ5wWIqr4Sgf2j_U6xbBVv-NAHhtcMA4ikAPqR1hnRB4gdTWpk-VKBt8K6RUqRYyucPRjYEV2p3PNILe2_RQ3xPYw_HlrnAJzrwjO5J2YcSiw6ituoze_ozzEC9JR/s728-e100/app.jpg]

    Die Schurken-Apps enthalten auch neue Funktionen, die es ihr ermöglichen, sich als die Anmeldeseite des Finanzinstituts auszugeben, um Anmeldedaten zu sammeln, auf SMS-Nachrichten zuzugreifen und eine Nutzlast der zweiten Stufe („unrar.jar“) von einem entfernten Server zu laden, um Ereignisse auf dem kompromittierten Gerät zu protokollieren.

    „Die Kombination der Phishing-Seite mit der Möglichkeit, die SMS des Opfers zu empfangen und zu lesen, könnte dazu verwendet werden, einen vollständigen Account Takeover (ATO) Angriff durchzuführen“, so die Forscher.

    Darüber hinaus hat Cleafy nach eigenen Angaben ein separates Android-App-Paket („SMSAppSicura.apk“) gefunden, das dieselbe Command-and-Control-Infrastruktur (C2) wie BRATA verwendet, um SMS-Nachrichten abzuschöpfen, was darauf hindeutet, dass die Bedrohungsakteure verschiedene Methoden ausprobieren, um ihre Reichweite zu vergrößern.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die SMS-Stealer-App soll speziell Nutzer in Großbritannien, Italien und Spanien ins Visier genommen haben. Ihr Ziel ist es, alle eingehenden Nachrichten abzufangen und zu exfiltrieren, die im Zusammenhang mit Einmalpasswörtern von Banken stehen.

    „Die ersten Malware-Kampagnen wurden über gefälschte Antiviren- oder andere gängige Apps verbreitet, während die Malware während der Kampagnen die Form eines APT-Angriffs gegen die Kunden einer bestimmten italienischen Bank annimmt“, so die Forscher.

    „Sie konzentrieren sich in der Regel auf die Bereitstellung von bösartigen Anwendungen, die für ein paar Monate auf eine bestimmte Bank ausgerichtet sind, und wechseln dann zu einem anderen Ziel.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Cybersecurity-Forscher haben Details zu 15 Sicherheitslücken im Siemens SINEC Network Management System (NMS) bekannt gegeben, von denen einige von einem Angreifer verkettet werden könnten, um Remote-Code-Ausführung auf betroffenen Systemen zu erreichen.

    „Die Schwachstellen stellen, wenn sie ausgenutzt werden, eine Reihe von Risiken für Siemens-Geräte im Netzwerk dar, einschließlich Denial-of-Service-Angriffen, Lecks von Zugangsdaten und Remote-Code-Ausführung unter bestimmten Umständen“, so das Industriesicherheitsunternehmen Claroty in einem neuen Bericht.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEilX32lo0OCGWeSbJv95Zf70lCkWkfzb8dPvmvy_wrP0Hgnh5d9gGbYi-6ImIAbGCkRGTtITjAeKJPkl0I7q0IXug69RN8IWVNGPEktj-IX9lxDZFzTBQ6hnLwc6ybXsKFOWnlipte1yPfbNnP1U6oSKedXQMXzkrBbymZdpvhtfp_hq1d4LaZVE1yGjg/s1600/GitHub-ads.png]

    Die fraglichen Mängel – nachverfolgt von CVE-2021-33722 bis CVE-2021-33736 – wurden von Siemens in Version V1.0 SP2 Update 1 als Teil der am 12. Oktober 2021 ausgelieferten Updates behoben.

    „Die schwerwiegendste könnte es einem authentifizierten Angreifer ermöglichen, unter bestimmten Bedingungen beliebigen Code mit Systemprivilegien auf dem System auszuführen“, schrieb Siemens damals in einem Advisory.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEgWYZ1-3OICW7LQ3OxvpiJcct9L4hqdjY969Sep_fy2d1r_bQ7pERxhxMvfS8GGWBPKU7oP0YuxZeCzMyuDXcQddn2o0cVF2OlPhtMthIlIzAtI_rBn-GtTjw2c_uSpx_yRdgNY-gTzgriI16MXGnfKCPcah9abJFxDZMd-U-1PycuB126JCV98zXVH/s728-e1000/demo-hack.gif]

    Zu den Schwachstellen gehört vor allem CVE-2021-33723 (CVSS-Score: 8.8), die eine Privilegienerweiterung auf ein Administratorkonto ermöglicht und mit CVE-2021-33722 (CVSS-Score: 7.2), einem Path-Traversal-Fehler, kombiniert werden könnte, um beliebigen Code aus der Ferne auszuführen.

    Ein weiterer bemerkenswerter Fehler betrifft einen Fall von SQL-Injection (CVE-2021-33729, CVSS-Score: 8.8), der von einem authentifizierten Angreifer ausgenutzt werden könnte, um beliebige Befehle in der lokalen Datenbank auszuführen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    „SINEC befindet sich in einer mächtigen zentralen Position innerhalb der Netzwerktopologie, da es Zugang zu den Anmeldeinformationen, kryptografischen Schlüsseln und anderen Geheimnissen benötigt, die ihm Administratorzugriff gewähren, um Geräte im Netzwerk zu verwalten“, so Noam Moshe von Claroty.

    „Aus der Sicht eines Angreifers, der einen Angriff durchführt, bei dem legitime Anmeldeinformationen und Netzwerk-Tools zur Durchführung bösartiger Aktivitäten missbraucht werden, versetzt der Zugriff auf und die Kontrolle über SINEC einen Angreifer in eine hervorragende Position für: Aufklärung, laterale Bewegungen und Privilegieneskalation.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Cybersecurity researchers have disclosed details about 15 security flaws in Siemens SINEC network management system (NMS), some of which could be chained by an attacker to achieve remote code execution on affected systems.

    “The vulnerabilities, if exploited, pose a number of risks to Siemens devices on the network including denial-of-service attacks, credential leaks, and remote code execution in certain circumstances,” industrial security company Claroty said in a new report.

    The shortcomings in question — tracked from CVE-2021-33722 through CVE-2021-33736 — were addressed by Siemens in version V1.0 SP2 Update 1 as part of updates shipped on October 12, 2021.

    “The most severe could allow an authenticated remote attacker to execute arbitrary code on the system, with system privileges, under certain conditions,” Siemens noted in an advisory at the time.

    Chief among the weaknesses is CVE-2021-33723 (CVSS score: 8.8), which allows for privilege escalation to an administrator account and could be combined with CVE-2021-33722 (CVSS score: 7.2), a path traversal flaw, to execute arbitrary code remotely.

    Another notable flaw relates to a case of SQL injection (CVE-2021-33729, CVSS score: 8.8) that could be exploited by an authenticated attacker to execute arbitrary commands in the local database.

    “SINEC is in a powerful central position within the network topology because it requires access to the credentials, cryptographic keys, and other secrets granting it administrator access in order to manage devices in the network,” Claroty’s Noam Moshe said.

    “From an attacker’s perspective carrying out a living-off-the-land type of attack where legitimate credentials and network tools are abused to carry out malicious activity, access to, and control of, SINEC puts an attacker in prime position for: reconnaissance, lateral movement, and privilege escalation.”

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    In the world of cybersecurity, reputation is everything. Most business owners have little understanding of the technical side, so they have to rely on credibility.

    Founded back in 2005, Palo Alto Networks is a cybersecurity giant that has earned the trust of the business community thanks to its impressive track record. The company now provides services to over 70,000 organizations in 150 countries.

    The Palo Alto Networks Cybersecurity Fundamentals (PCCSA) course helps you gain that same level of credibility, with 27 tutorials working towards official certification. It’s normally priced at $295, but readers of The Hacker News can currently get the training for only $19.99.

    Special Offer — The Palo Alto Networks Cybersecurity Fundamentals (PCCSA) course is worth $295, but you can grab it today for just $19.99 with lifetime access included. That’s 93% off the full price!

    There are many different certifications you can earn in cybersecurity today. With the backing of a respected service provider, PCCSA is ranked highly. This certification proves that you are fully up to date with the latest threats and developments in cybersecurity and cloud computing.

    The Palo Alto Networks Cybersecurity Fundamentals course offers the ideal prep for this learning path, with 6¾ hours of high-quality tutorials.

    Through engaging video lessons, you learn about important cloud security principles, and about countermeasures to cyber attacks. You also discover how to install, configure, and maintain Palo Alto Networks’ next-generation firewalls.

    All the instruction comes from the experts at ITproTV. This collective of IT professionals makes some of the best technical courses around, with a rating of 4.6 out of 5 stars on Trustpilot. This particular course actually has a rating of 4.4 out of 5 stars from past learners.

    Order today for only $19.99 to get lifetime access to the entire course on desktop and mobile devices, saving 93% on the total price!

    Prices subject to change

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    In der Welt der Cybersicherheit ist der Ruf alles. Die meisten Geschäftsinhaber haben wenig Verständnis für die technische Seite, so dass sie sich auf ihre Glaubwürdigkeit verlassen müssen.

    Das 2005 gegründete Unternehmen Palo Alto Networks ist ein Cybersecurity-Gigant, der sich dank seiner beeindruckenden Erfolgsbilanz das Vertrauen der Geschäftswelt erworben hat. Das Unternehmen bietet heute Dienstleistungen für über 70.000 Organisationen in 150 Ländern an.

    Der Kurs Palo Alto Networks Cybersecurity Fundamentals (PCCSA) hilft Ihnen, das gleiche Maß an Glaubwürdigkeit zu erlangen, mit 27 Übungen, die auf eine offizielle Zertifizierung hinarbeiten. Der Kurs kostet normalerweise $295, aber Leser von The Hacker News können ihn derzeit für nur $19,99 erwerben.

    Sonderangebot – Der Kurs Palo Alto Networks Cybersecurity Fundamentals (PCCSA) kostet $295, aber Sie können ihn heute für nur $19,99 mit lebenslangem Zugang erwerben. Das sind 93% Rabatt auf den vollen Preis!

    Es gibt viele verschiedene Zertifizierungen, die Sie heute im Bereich der Cybersicherheit erwerben können. Mit der Unterstützung eines angesehenen Dienstanbieters genießt PCCSA einen hohen Stellenwert. Diese Zertifizierung beweist, dass Sie mit den neuesten Bedrohungen und Entwicklungen im Bereich Cybersicherheit und Cloud Computing vertraut sind.

    Der Kurs Palo Alto Networks Cybersecurity Fundamentals bietet die ideale Vorbereitung auf diesen Lernpfad mit 6¾ Stunden hochwertiger Tutorials.

    In fesselnden Videolektionen lernen Sie wichtige Prinzipien der Cloud-Sicherheit und Gegenmaßnahmen für Cyberangriffe kennen. Außerdem erfahren Sie, wie Sie die Firewalls der nächsten Generation von Palo Alto Networks installieren, konfigurieren und warten.

    Die gesamte Anleitung stammt von den Experten von ITproTV. Dieses Kollektiv von IT-Fachleuten bietet einige der besten technischen Kurse an, die es gibt, mit einer Bewertung von 4,6 von 5 Sternen auf Trustpilot. Dieser spezielle Kurs hat sogar eine Bewertung von 4,4 von 5 Sternen von ehemaligen Lernenden.

    Bestellen Sie noch heute für nur $19,99 und erhalten Sie lebenslangen Zugriff auf den gesamten Kurs auf Desktop- und Mobilgeräten und sparen Sie 93% des Gesamtpreises!

    Preisänderungen vorbehalten

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    The U.S. Department of Justice (DoJ) on Thursday disclosed that it took down the infrastructure associated with a Russian botnet known as RSOCKS in collaboration with law enforcement partners in Germany, the Netherlands, and the U.K.

    The botnet, operated by a sophisticated cybercrime organization, is believed to have ensnared millions of internet-connected devices, including Internet of Things (IoT) devices, Android phones, and computers for use as a proxy service.

    Botnets, a constantly evolving threat, are networks of hijacked computer devices that are under the control of a single attacking party and are used to facilitate a variety of large-scale cyber intrusions such as distributed denial-of-service (DDoS) attacks, email spam, and cryptojacking.

    “The RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked,” the DoJ said in a press release. “The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic.”

    Besides home businesses and individuals, several large public and private entities, including a university, a hotel, a television studio, and an electronics manufacturer, have been victimized by the botnet to date, the prosecutors said.

    Customers wanting to avail proxies from RSOCKS could rent access via a web-based storefront for different time periods at various price points ranging from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies.

    Once purchased, criminal actors could then redirect malicious internet traffic through the IP addresses associated with the compromised victim devices to conceal their true intent, which was to carry out credential stuffing attacks, access compromised social media accounts, and send out phishing messages.

    The action is the culmination of an undercover operation mounted by the Federal Bureau of Investigation (FBI) in early 2017, when it made covert purchases from RSOCKS to map out its infrastructure and its victims, allowing it to determine roughly 325,000 infected devices.

    “Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks,” the DoJ said. “The RSOCKS backend servers maintained a persistent connection to the compromised device.”

    The disruption of RSOCKS arrives less than two weeks after it seized an illicit online marketplace known as SSNDOB for trafficking personal information such as names, dates of birth, credit card numbers, and Social Security numbers of about 24 million individuals in the U.S.

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Das US-Justizministerium hat am Donnerstag bekannt gegeben, dass es in Zusammenarbeit mit Strafverfolgungspartnern in Deutschland, den Niederlanden und Großbritannien die Infrastruktur eines russischen Botnetzes namens RSOCKS ausgeschaltet hat.

    Es wird angenommen, dass das von einer ausgeklügelten Cybercrime-Organisation betriebene Botnetz Millionen von mit dem Internet verbundenen Geräten, einschließlich Geräten des Internets der Dinge (IoT), Android-Telefonen und Computern, für die Nutzung als Proxy-Dienst umgarnt hat.

    Botnets, eine sich ständig weiterentwickelnde Bedrohung, sind Netzwerke von gekaperten Computergeräten, die unter der Kontrolle einer einzigen angreifenden Partei stehen und dazu verwendet werden, eine Vielzahl von groß angelegten Cyberangriffen wie DDoS-Angriffe (Distributed Denial of Service), E-Mail-Spam und Kryptojacking zu ermöglichen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    „Das RSOCKS-Botnetz bot seinen Kunden Zugang zu IP-Adressen, die Geräten zugewiesen waren, die gehackt worden waren“, so das Justizministerium in einer Presseerklärung. „Die Besitzer dieser Geräte haben den Betreibern von RSOCKS nicht die Befugnis erteilt, auf ihre Geräte zuzugreifen, um ihre IP-Adressen zu nutzen und den Internetverkehr weiterzuleiten.“

    Neben privaten Unternehmen und Einzelpersonen wurden bisher mehrere große öffentliche und private Einrichtungen, darunter eine Universität, ein Hotel, ein Fernsehstudio und ein Elektronikhersteller, Opfer des Botnetzes, so die Staatsanwaltschaft.

    Kunden, die Proxys von RSOCKS in Anspruch nehmen wollten, konnten den Zugang über ein webbasiertes Schaufenster für verschiedene Zeiträume zu unterschiedlichen Preisen mieten, die von 30 Dollar pro Tag für den Zugang zu 2.000 Proxys bis zu 200 Dollar pro Tag für den Zugang zu 90.000 Proxys reichten.

    Nach dem Kauf konnten die kriminellen Akteure den bösartigen Internetverkehr über die IP-Adressen umleiten, die mit den kompromittierten Geräten der Opfer verbunden waren, um ihre wahren Absichten zu verschleiern, nämlich Angriffe zum Ausfüllen von Anmeldeinformationen, Zugriff auf kompromittierte Konten in sozialen Medien und Versenden von Phishing-Nachrichten.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Aktion ist der Höhepunkt einer Undercover-Operation, die das Federal Bureau of Investigation (FBI) Anfang 2017 durchführte, als es verdeckte Käufe bei RSOCKS tätigte, um dessen Infrastruktur und seine Opfer zu kartieren, wodurch es möglich war, etwa 325.000 infizierte Geräte zu ermitteln.

    „Durch die Analyse der Opfergeräte stellten die Ermittler fest, dass das RSOCKS-Botnetz die Opfergeräte durch Brute-Force-Angriffe kompromittierte“, so das DoJ. „Die RSOCKS-Backend-Server hielten eine ständige Verbindung zu dem kompromittierten Gerät aufrecht.

    Die Unterbrechung von RSOCKS erfolgt weniger als zwei Wochen nach der Beschlagnahmung eines illegalen Online-Marktplatzes, der als SSNDOB bekannt ist und mit persönlichen Daten wie Namen, Geburtsdaten, Kreditkartennummern und Sozialversicherungsnummern von etwa 24 Millionen Personen in den USA handelt.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Eine kürzlich gepatchte kritische Sicherheitslücke in Atlassian Confluence Server- und Data Center-Produkten wird in realen Angriffen aktiv als Waffe eingesetzt, um Cryptocurrency-Miner und Ransomware-Nutzlasten abzusetzen.

    In mindestens zwei der vom Cybersicherheitsanbieter Sophos beobachteten Windows-Vorfälle nutzten Angreifer die Schwachstelle aus, um die Ransomware Cerber und einen Krypto-Miner namens z0miner auf die Netzwerke der Opfer zu übertragen.

    Der Fehler (CVE-2022-26134, CVSS-Score: 9.8), der von Atlassian am 3. Juni 2022 gepatcht wurde, ermöglicht es einem nicht authentifizierten Akteur, bösartigen Code einzuschleusen, der den Weg für eine Remote-Code-Ausführung (RCE) auf betroffenen Installationen der Collaboration Suite ebnet. Alle unterstützten Versionen von Confluence Server und Data Center sind betroffen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw/s1600/Bitbucket-ads.png]

    Weitere bemerkenswerte Malware, die im Rahmen verschiedener Angriffe verbreitet wurde, sind Mirai- und Kinsing-Bot-Varianten, ein bösartiges Paket namens pwnkit und Cobalt Strike, das über eine Web-Shell eingesetzt wird, nachdem es in dem angegriffenen System Fuß gefasst hat.

    „Die Sicherheitslücke CVE-2022-26134 ermöglicht es einem Angreifer, eine aus der Ferne zugängliche Shell im Speicher zu starten, ohne etwas in den lokalen Speicher des Servers zu schreiben“, sagt Andrew Brandt, Principal Security Researcher bei Sophos.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj4ylTTjRkYLtYQCSXoVz8gUgRgTa98lR7XaqcG9UbybTcDEi9J5hfotnq_Gutzoj81P5XHccmBjiW9E7KZlw5edBNyVl0N0zwIwuyQGM4A95z1ZdyCtPLIHlvFzE_XXxyZJjC55Sp3sPQrsczwhlKexPSQGqBrt0qHXhWsFMoMEcBZXvs-OTYPTLet/s728-e1000/code.jpg]

    Die Enthüllung überschneidet sich mit ähnlichen Warnungen von Microsoft, das letzte Woche bekannt gab, dass „mehrere Angreifer und nationalstaatliche Akteure, einschließlich DEV-0401 und DEV-0234, die Atlassian Confluence RCE-Schwachstelle CVE-2022-26134 ausnutzen“.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    DEV-0401, der von Microsoft als „in China ansässiger Einzelkämpfer, der zu einem LockBit 2.0-Partner geworden ist“, beschrieben wird, wurde bereits früher mit Ransomware-Einsätzen in Verbindung gebracht, die auf Systeme mit Internetanschluss abzielten, auf denen VMWare Horizon (Log4Shell), Confluence (CVE-2021-26084) und Exchange-Server vor Ort (ProxyShell) ausgeführt werden.

    Diese Entwicklung ist bezeichnend für einen anhaltenden Trend, bei dem Bedrohungsakteure zunehmend aus neu bekannt gewordenen kritischen Schwachstellen Kapital schlagen, anstatt öffentlich bekannte, veraltete Softwarefehler bei einem breiten Spektrum von Zielen auszunutzen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    A recently patched critical security flaw in Atlassian Confluence Server and Data Center products is being actively weaponized in real-world attacks to drop cryptocurrency miners and ransomware payloads.

    In at least two of the Windows-related incidents observed by cybersecurity vendor Sophos, adversaries exploited the vulnerability to deliver Cerber ransomware and a crypto miner called z0miner on victim networks.

    The bug (CVE-2022-26134, CVSS score: 9.8), which was patched by Atlassian on June 3, 2022, enables an unauthenticated actor to inject malicious code that paves the way of remote code execution (RCE) on affected installations of the collaboration suite. All supported versions of Confluence Server and Data Center are affected.

    Other notable malware pushed as part of disparate instances of attack activity include Mirai and Kinsing bot variants, a rogue package called pwnkit, and Cobalt Strike by way of a web shell deployed after gaining an initial foothold into the compromised system.

    “The vulnerability, CVE-2022-26134, allows an attacker to spawn a remotely-accessible shell, in-memory, without writing anything to the server’s local storage,” Andrew Brandt, principal security researcher at Sophos, said.

    The disclosure overlaps with similar warnings from Microsoft, which revealed last week that “multiple adversaries and nation-state actors, including DEV-0401 and DEV-0234, are taking advantage of the Atlassian Confluence RCE vulnerability CVE-2022-26134.”

    DEV-0401, described by Microsoft as a “China-based lone wolf turned LockBit 2.0 affiliate,” has also been previously linked to ransomware deployments targeting internet-facing systems running VMWare Horizon (Log4Shell), Confluence (CVE-2021-26084), and on-premises Exchange servers (ProxyShell).

    The development is emblematic of an ongoing trend where threat actors are increasingly capitalizing on newly disclosed critical vulnerabilities rather than exploiting publicly known, dated software flaws across a broad spectrum of targets.

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Content management system (CMS) provider WordPress has forcibly updated over a million sites to patch a critical vulnerability affecting the Ninja Forms plugin.

    The flaw was spotted by the Wordfence threat intelligence team in June and documented in an advisory by the company on Thursday.

    In the document, Wordfence said the code injection vulnerability made it possible for unauthenticated attackers to call a limited number of methods in various Ninja Forms classes, including one that resulted in Object Injection.

    “We determined that this could lead to a variety of exploit chains due to the various classes and functions that the Ninja Forms plugin contains,” read the post.

    “One potentially critical exploit chain, in particular, involves the use of the NF_Admin_Processes_ImportForm class to achieve remote code execution via deserialization, though there would need to be another plugin or theme installed on the site with a usable gadget.”

    The researchers also said there was evidence suggesting the vulnerability was being actively exploited in the wild.

    “As such, we are alerting our users immediately to the presence of this vulnerability.”

    After becoming aware of the issue, WordPress released a patch that was automatically applied to sites running the following versions of the plugin: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 and 3.6.11.

    “Nonetheless, we strongly recommend ensuring that your site has been updated to one of the patched versions as soon as possible since automatic updates are not always successful,” Wordfence warned.

    The company also said it would update the text of the advisory as they learn more about the exploit chains attackers are using to take advantage of this vulnerability.

    Ninja Forms is not the first WordPress popular plugin to have been found to have a critical vulnerability this year. Back in February, researchers found a bug in UpDraft Plus affecting more than three million websites.

    A California man was sentenced to time in prison Wednesday after hacking thousands of iCloud accounts, stealing people’s nude images and videos and sharing them with conspirators.

    Hao Kuo Chi, acting under the online name of ‘icloudripper4you’, would have illegally obtained the iCloud credentials of approximately 4700 victims and shared their content with other people on more than 300 occasions.

    Because of these crimes, US District Judge Kathryn Kimball Mizelle sentenced Chi to nine years in federal prison for conspiracy and computer fraud after he pleaded guilty last October.

    “Chi victimized hundreds of women across the country, making them fear for their safety and reputations,” commented US Attorney Roger Handberg.

    “This sentence reflects the resolve of the U.S. Attorney’s Office to hold cybercriminals responsible for their crimes.”

    According to documents obtained by the court, Chi operated for several years on Anon-IB, an ‘anonymous image’ sharing website designed to encourage users to post sexual or explicit photos.

    The man allegedly used an unnamed foreign-based, end-to-end encrypted email service to share images with his conspirators, some of whom released the images into the public sphere.

    Anon-IB has now been taken offline, but during his time on the site, Chi reportedly collected approximately 3.5 TB of victim data on both cloud and physical storage, containing content attributable to more than 500 victims.

    “This man led a terror campaign from his computer, causing fear and distress to hundreds of victims,” said David Walker, FBI Tampa Division Special Agent in Charge.

    “The FBI is committed to protecting the American people by exposing these cybercriminals and bringing them to justice.”

    A similar case took place in October 2021, when IT specialist Justin Sean Johnson admitted using his technical skills to hack into the online accounts, including iCloud, of tens of thousands of University of Pittsburgh Medical Center (UPMC) employees.

    Microsoft added a new known issue affecting its operating systems’ Wi-Fi hotspot feature to its official Health Dashboard page.

    Affecting Windows 10 and 11 machines, the bug would have been introduced with a Windows update the company released earlier this month.

    “After installing KB5014697, Windows devices might be unable [to] use the Wi-Fi hotspot feature.”

    For context, the update, released on June 14, addresses various security issues.

    “This update contains miscellaneous security improvements to internal OS functionality. No additional issues were documented for this release,” wrote Windows in a blog post.

    The new patch also improves the servicing stack on Windows 11 machines (the component that installs Windows updates).

    “Servicing stack updates (SSU) ensure that you have a robust and reliable servicing stack so that your devices can receive and install Microsoft updates.”

    As far as the flaw is concerned, when attempting to use the hotspot feature after installing the update, the host device might lose the connection to the internet after a client device connects.

    Windows has published a detailed list of affected platforms and related versions, available at this link here.

    The technology giant also said they’re investigating the bug and will provide an update in an upcoming release.

    In the meantime, Microsoft has suggested a ‘workaround’ to the issue, which essentially consists in simply turning off the feature.

    “To mitigate the issue and restore internet access on the host device, you can disable the Wi-Fi hotspot feature.”

    Alternatively, users may try to roll back the Windows update (not advised) and wait for the tech giant to release an official fix.

    The bug comes weeks after Microsoft discovered a new variant of the Sysrv botnet. A few days later, cybersecurity software provider 360 Total Security released an advisory warning Windows 11 users that the Magniber ransomware had been upgraded to target Microsoft’s latest operating system.

    Microsoft hat ein neues bekanntes Problem, das die Wi-Fi-Hotspot-Funktion seines Betriebssystems betrifft, auf seiner offiziellen Health Dashboard-Seite veröffentlicht.

    Der Fehler, der Windows 10- und 11-Rechner betrifft, wurde mit einem Windows-Update eingeführt, das das Unternehmen Anfang dieses Monats veröffentlichte.

    „Nach der Installation von KB5014697 können Windows-Geräte möglicherweise nicht mehr [to] die Wi-Fi-Hotspot-Funktion nicht verwenden.“

    Das Update, das am 14. Juni veröffentlicht wurde, behebt verschiedene Sicherheitsprobleme.

    „Dieses Update enthält verschiedene Sicherheitsverbesserungen für interne Betriebssystemfunktionen. Es wurden keine zusätzlichen Probleme für diese Version dokumentiert“, schrieb Windows in einem Blog-Post.

    Der neue Patch verbessert auch den Wartungsstapel auf Windows 11-Maschinen (die Komponente, die Windows-Updates installiert).

    „Wartungsstapel-Updates (SSU) stellen sicher, dass Sie einen robusten und zuverlässigen Wartungsstapel haben, damit Ihre Geräte Microsoft-Updates empfangen und installieren können.“

    Bei dem Versuch, die Hotspot-Funktion nach der Installation des Updates zu nutzen, kann es vorkommen, dass das Host-Gerät die Verbindung zum Internet verliert, nachdem ein Client-Gerät eine Verbindung hergestellt hat.

    Windows hat eine detaillierte Liste der betroffenen Plattformen und der entsprechenden Versionen veröffentlicht, die unter diesem Link abrufbar ist.

    Der Technologieriese sagte auch, dass er den Fehler untersucht und in einer der nächsten Versionen ein Update bereitstellen wird.

    In der Zwischenzeit hat Microsoft einen „Workaround“ für das Problem vorgeschlagen, der im Wesentlichen darin besteht, die Funktion einfach zu deaktivieren.

    „Um das Problem zu entschärfen und den Internetzugang auf dem Host-Gerät wiederherzustellen, können Sie die Wi-Fi-Hotspot-Funktion deaktivieren.“

    Alternativ können Benutzer versuchen, das Windows-Update zurückzusetzen (davon wird abgeraten) und auf die Veröffentlichung einer offiziellen Lösung durch den Tech-Giganten zu warten.

    Der Fehler tritt Wochen nach der Entdeckung einer neuen Variante des Sysrv-Botnetzes durch Microsoft auf. Einige Tage später veröffentlichte der Anbieter von Cybersicherheitssoftware 360 Total Security eine Warnung für Windows 11-Nutzer, dass die Ransomware Magniber auf das neueste Betriebssystem von Microsoft aufgerüstet wurde.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com

    Ein Mann aus Kalifornien wurde am Mittwoch zu einer Haftstrafe verurteilt, nachdem er Tausende von iCloud-Konten gehackt, Nacktbilder und -videos von Menschen gestohlen und sie mit Verschwörern geteilt hatte.

    Hao Kuo Chi, der unter dem Online-Namen „icloudripper4you“ auftrat, hätte sich illegal die iCloud-Anmeldedaten von etwa 4700 Opfern verschafft und deren Inhalte bei mehr als 300 Gelegenheiten mit anderen Personen geteilt.

    Aufgrund dieser Straftaten verurteilte die US-Bezirksrichterin Kathryn Kimball Mizelle Chi zu neun Jahren Bundesgefängnis wegen Verschwörung und Computerbetrugs, nachdem er sich im Oktober letzten Jahres schuldig bekannt hatte.

    „Chi hat Hunderte von Frauen im ganzen Land schikaniert und sie dazu gebracht, um ihre Sicherheit und ihren Ruf zu fürchten“, kommentierte US-Staatsanwalt Roger Handberg.

    „Dieses Urteil spiegelt die Entschlossenheit der US-Staatsanwaltschaft wider, Cyberkriminelle für ihre Verbrechen zur Verantwortung zu ziehen.“

    Laut Gerichtsdokumenten war Chi mehrere Jahre lang auf Anon-IB aktiv, einer Website für den Austausch von „anonymen Bildern“, die die Nutzer dazu ermutigen sollte, sexuelle oder eindeutige Fotos zu veröffentlichen.

    Der Mann benutzte angeblich einen nicht näher benannten, im Ausland ansässigen, Ende-zu-Ende-verschlüsselten E-Mail-Dienst, um Bilder mit seinen Verschwörern auszutauschen, von denen einige die Bilder an die Öffentlichkeit weitergaben.

    Anon-IB wurde inzwischen offline genommen, aber während seiner Zeit auf der Website sammelte Chi Berichten zufolge etwa 3,5 TB an Opferdaten sowohl in der Cloud als auch auf physischem Speicher, die Inhalte von mehr als 500 Opfern enthielten.

    „Dieser Mann führte eine Terrorkampagne von seinem Computer aus und versetzte Hunderte von Opfern in Angst und Schrecken“, sagte David Walker, Special Agent der FBI-Abteilung Tampa.

    „Das FBI ist entschlossen, das amerikanische Volk zu schützen, indem es diese Cyberkriminellen entlarvt und vor Gericht stellt.“

    Ein ähnlicher Fall ereignete sich im Oktober 2021, als der IT-Spezialist Justin Sean Johnson zugab, seine technischen Fähigkeiten genutzt zu haben, um sich in die Online-Konten, einschließlich iCloud, von zehntausenden Mitarbeitern des University of Pittsburgh Medical Center (UPMC) einzuhacken.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com

    Der Content-Management-System (CMS)-Anbieter WordPress hat mehr als eine Million Websites zwangsweise aktualisiert, um eine kritische Sicherheitslücke zu schließen, die das Ninja Forms Plugin betrifft.

    Die Schwachstelle wurde im Juni vom Wordfence Threat Intelligence Team entdeckt und am Donnerstag in einem Advisory des Unternehmens dokumentiert.

    In dem Dokument erklärte Wordfence, dass die Code-Injektionsschwachstelle es nicht authentifizierten Angreifern ermöglichte, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, darunter eine, die zu einer Object Injection führte.

    „Wir haben festgestellt, dass dies aufgrund der verschiedenen Klassen und Funktionen, die das Ninja Forms Plugin enthält, zu einer Vielzahl von Exploit-Ketten führen kann“, heißt es in dem Beitrag.

    „Eine potenziell kritische Exploit-Kette beinhaltet insbesondere die Verwendung der Klasse NF_Admin_Processes_ImportForm, um eine Remote-Code-Ausführung über Deserialisierung zu erreichen, wobei allerdings ein anderes Plugin oder Theme auf der Website mit einem verwendbaren Gadget installiert sein müsste.“

    Die Forscher sagten auch, dass es Anzeichen dafür gibt, dass die Sicherheitslücke aktiv ausgenutzt wird.

    „Daher warnen wir unsere Nutzer umgehend vor dieser Sicherheitslücke.“

    Nach Bekanntwerden des Problems hat WordPress einen Patch veröffentlicht, der automatisch auf Websites mit den folgenden Versionen des Plugins angewendet wurde: 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11.

    „Dennoch empfehlen wir dringend, dass Sie Ihre Website so bald wie möglich auf eine der gepatchten Versionen aktualisieren, da automatische Updates nicht immer erfolgreich sind“, warnte Wordfence.

    Das Unternehmen kündigte außerdem an, den Text des Hinweises zu aktualisieren, sobald es mehr über die Exploit-Ketten erfährt, mit denen Angreifer diese Sicherheitslücke ausnutzen.

    Ninja Forms ist nicht das erste beliebte WordPress-Plugin, bei dem in diesem Jahr eine kritische Sicherheitslücke gefunden wurde. Bereits im Februar fanden Forscher einen Fehler in UpDraft Plus, der mehr als drei Millionen Websites betraf.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com

    An enterprise-grade surveillanceware dubbed Hermit has been put to use by entities operating from within Kazakhstan, Syria, and Italy over the years since 2019, new research has revealed.

    Lookout attributed the spy software, which is equipped to target both Android and iOS, to an Italian company named RCS Lab S.p.A and Tykelab Srl, a telecom services provider which it suspects to be a front company. The San Francisco-based cybersecurity firm said it detected the campaign aimed at Kazakhstan in April 2022.

    Hermit is modular and comes with myriad capabilities that allow it to “exploit a rooted device, record audio and make and redirect phone calls, as well as collect data such as call logs, contacts, photos, device location and SMS messages,” Lookout researchers Justin Albrecht and Paul Shunk said in a new write-up.

    The spyware is believed to be distributed via SMS messages that trick users into installing what are seemingly innocuous apps from Samsung, Vivo, and Oppo, which, when opened, loads a website from the impersonated company while stealthily activating the kill chain in the background.

    Like other Android malware threats, Hermit is engineered to abuse its access to accessibility services and other core components of the operating system (i.e., contacts, camera, calendar, clipboard, etc.) for most of its malicious activities.

    Android devices have been at the receiving end of spyware in the past. In November 2021, the threat actor tracked as APT-C-23 (aka Arid Viper) was linked to a wave of attacks targeting Middle East users with new variants of FrozenCell.

    Then last month, Google’s Threat Analysis Group (TAG) disclosed that at least government-backed actors located in Egypt, Armenia, Greece, Madagascar, Côte d’Ivoire, Serbia, Spain, and Indonesia are buying Android zero-day exploits for covert surveillance campaigns.

    “RCS Lab, a known developer that has been active for over three decades, operates in the same market as Pegasus developer NSO Group Technologies and Gamma Group, which created FinFisher,” the researchers noted.

    “Collectively branded as ‘lawful intercept’ companies, they claim to only sell to customers with legitimate use for surveillanceware, such as intelligence and law enforcement agencies. In reality, such tools have often been abused under the guise of national security to spy on business executives, human rights activists, journalists, academics and government officials.”

    The findings come as the Israel-based NSO Group is said to be reportedly in talks to sell off its Pegasus technology to U.S. defense contractor L3Harris, the company that manufactures StingRay cellular phone trackers, prompting concerns that it could open the door for law enforcement’s use of the controversial hacking tool.

    The German maker behind FinFisher has been courting troubles of its own in the wake of raids conducted by investigating authorities in connection with suspected violations of foreign trading laws by way of selling its spyware in Turkey without obtaining the required license.

    Earlier this March, it shut down its operations and filed for insolvency, Netzpolitik and Bloomberg reported, adding, “the office has been dissolved, the employees have been laid off, and business operations have ceased.”

    Found this article interesting? Follow THN on Facebook, Twitter  and LinkedIn to read more exclusive content we post.

    Eine unternehmenstaugliche Überwachungssoftware mit dem Namen Hermit wurde seit 2019 von Organisationen eingesetzt, die von Kasachstan, Syrien und Italien aus operieren, wie neue Untersuchungen ergeben haben.

    Lookout schreibt die Spionagesoftware, die sowohl auf Android als auch auf iOS abzielt, einem italienischen Unternehmen namens RCS Lab S.p.A. und Tykelab Srl, einem Telekommunikationsdienstleister, zu, von dem es vermutet, dass er eine Scheinfirma ist. Das in San Francisco ansässige Cybersicherheitsunternehmen erklärte, es habe die auf Kasachstan gerichtete Kampagne im April 2022 entdeckt.

    Hermit ist modular aufgebaut und verfügt über unzählige Funktionen, die es ihm ermöglichen, „ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen und Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln“, so die Lookout-Forscher Justin Albrecht und Paul Shunk in einem neuen Bericht.

    Es wird vermutet, dass die Spyware über SMS-Nachrichten verbreitet wird, die die Nutzer dazu verleiten, scheinbar harmlose Apps von Samsung, Vivo und Oppo zu installieren, die, wenn sie geöffnet werden, eine Website des vorgetäuschten Unternehmens laden, während sie im Hintergrund heimlich die Kill Chain aktivieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    Wie andere Android-Malware-Bedrohungen ist Hermit so konzipiert, dass er seinen Zugang zu Zugangsdiensten und anderen Kernkomponenten des Betriebssystems (d. h. Kontakte, Kamera, Kalender, Zwischenablage usw.) für die meisten seiner bösartigen Aktivitäten missbraucht.

    Android-Geräte waren in der Vergangenheit bereits Ziel von Spionageprogrammen. Im November 2021 wurde der als APT-C-23 (auch bekannt als Arid Viper) bekannte Bedrohungsakteur mit einer Welle von Angriffen auf Nutzer im Nahen Osten mit neuen Varianten von FrozenCell in Verbindung gebracht.

    Letzten Monat deckte die Threat Analysis Group (TAG) von Google auf, dass zumindest von der Regierung unterstützte Akteure in Ägypten, Armenien, Griechenland, Madagaskar, der Elfenbeinküste, Serbien, Spanien und Indonesien Android-Zero-Day-Exploits für verdeckte Überwachungskampagnen kaufen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEgzIZx2i-1pl-8fun9-1P0PX1ojr4e0bnegocd_H7AVjCxxpo8IcevaYVi-keimBBFYQjqt2_TGdDxtqSpl7zm0lws8HXqjnrPIIBpAuLWbFT5uE7uyMdlGBetoTiCzx3-nvXGP30s4qNucdn-cgQ1UV4yRI4Tc5afLPpKX2d8AoyT4Ar3Yp5YJXbjE/s728-e100/code.jpg]

    „RCS Lab, ein bekannter Entwickler, der seit über drei Jahrzehnten aktiv ist, operiert auf demselben Markt wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat“, so die Forscher.

    Sie behaupten, nur an Kunden zu verkaufen, die einen legitimen Bedarf an Überwachungsprogrammen haben, wie z. B. Nachrichtendienste und Strafverfolgungsbehörden, und bezeichnen sich selbst als „Lawful Intercept“-Unternehmen. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Geschäftsleute, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.“

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Ergebnisse kommen zu einem Zeitpunkt, an dem die in Israel ansässige NSO Group Berichten zufolge in Gesprächen über den Verkauf ihrer Pegasus-Technologie an das US-Verteidigungsunternehmen L3Harris steht, das Mobiltelefon-Tracker der Marke StingRay herstellt, was Bedenken hervorruft, dass dies den Strafverfolgungsbehörden die Tür für den Einsatz des umstrittenen Hacking-Tools öffnen könnte.

    Der deutsche Hersteller, der hinter FinFisher steht, hat nach Razzien der Ermittlungsbehörden im Zusammenhang mit mutmaßlichen Verstößen gegen das Außenhandelsgesetz durch den Verkauf seiner Spionagesoftware in der Türkei ohne die erforderliche Lizenz selbst Probleme bekommen.

    Anfang März dieses Jahres stellte das Unternehmen seinen Betrieb ein und meldete Insolvenz an, berichteten Netzpolitik und Bloomberg und fügten hinzu: „Das Büro wurde aufgelöst, die Mitarbeiter wurden entlassen und der Geschäftsbetrieb eingestellt.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com

    Es gibt Hinweise darauf, dass ein gerade entdeckter APT seit 2013 aktiv ist.

    Forscher haben eine kleine, aber wirkungsvolle, mit China verbundene APT identifiziert, die fast ein Jahrzehnt lang unter dem Radar geblieben ist und Kampagnen gegen Regierungs-, Bildungs- und Telekommunikationsorganisationen in Südostasien und Australien durchgeführt hat.

    Forscher von SentinelLabs sagten, dass der APT, den sie Aoqin Dragon nannten, mindestens seit 2013 aktiv ist. Die APT ist „ein kleines chinesischsprachiges Team mit potenzieller Verbindung zu [an APT called] UNC94“, berichteten sie.

    Die Forscher sagen, dass eine der Taktiken und Techniken von Aoqin Dragon darin besteht, pornografische Dokumente als Köder zu verwenden, um die Opfer zum Herunterladen zu verleiten.

    „Aoqin Dragon verschafft sich den ersten Zugang vor allem durch die Ausnutzung von Dokumenten und die Verwendung gefälschter Wechseldatenträger“, schreiben die Forscher.

    Aoqin Dragons sich entwickelnde Stealth-Taktiken

    Dass Aoqin Dragon so lange unter dem Radar blieb, liegt auch daran, dass sie sich weiterentwickelt haben. So haben sich beispielsweise die Mittel, mit denen die APT die Zielcomputer infiziert, weiterentwickelt.

    In den ersten Jahren ihrer Tätigkeit verließ sich Aoqin Dragon auf die Ausnutzung alter Schwachstellen – insbesondere CVE-2012-0158 und CVE-2010-3333 -, die ihre Ziele möglicherweise noch nicht gepatcht hatten.

    Später erstellte Aoqin Dragon ausführbare Dateien mit Desktop-Symbolen, die den Anschein erweckten, dass sie wie Windows-Ordner oder Antiviren-Software aussehen. Bei diesen Programmen handelte es sich in Wirklichkeit um bösartige Dropper, die Hintertüren einschleusten und dann Verbindungen zurück zu den Command-and-Control-Servern (C2) der Angreifer herstellten.

    Seit 2018 nutzt die Gruppe einen gefälschten Wechseldatenträger als Infektionsvektor. Wenn ein Benutzer darauf klickt, um einen scheinbaren Wechseldatenträger-Ordner zu öffnen, löst er in Wirklichkeit eine Kettenreaktion aus, die eine Backdoor und eine C2-Verbindung auf seinen Computer herunterlädt. Darüber hinaus kopiert sich die Malware auf alle tatsächlich mit dem Host-Rechner verbundenen Wechseldatenträger, um sich über den Host hinaus und hoffentlich auch in das Netzwerk des Ziels zu verbreiten.

    Die Gruppe hat andere Techniken eingesetzt, um nicht aufzufallen. Sie hat DNS-Tunneling eingesetzt – die Manipulation des Internet-Domänennamensystems, um Daten an Firewalls vorbei zu schleusen. Eine Hintertür – bekannt als Mongall – verschlüsselt die Kommunikationsdaten zwischen Host und C2-Server. Mit der Zeit, so die Forscher, begann die APT, die Technik des gefälschten Wechseldatenträgers langsam auszubauen. Dies geschah, um „die Malware so abzustufen, dass sie von Sicherheitsprodukten nicht entdeckt und entfernt werden kann.“

    Nationalstaatliche Links

    Die Ziele fallen in der Regel in einige wenige Bereiche – Regierung, Bildung und Telekommunikation, alle in und um Südostasien. Die Forscher behaupten, dass „die Ziele von Aoqin Dragon eng mit den politischen Interessen der chinesischen Regierung übereinstimmen“.

    Ein weiterer Beweis für den Einfluss Chinas ist ein von den Forschern gefundenes Debug-Protokoll, das vereinfachte chinesische Schriftzeichen enthält.

    Vor allem aber wiesen die Forscher auf einen sich überschneidenden Angriff auf die Website des Präsidenten von Myanmar im Jahr 2014 hin. In diesem Fall verfolgte die Polizei die Befehls- und Kontroll- und Mailserver der Hacker nach Peking. Die beiden primären Hintertüren von Aoqin Dragon „haben eine sich überschneidende C2-Infrastruktur“ und „die meisten C2-Server können chinesischsprachigen Benutzern zugeordnet werden“.

    Dennoch „kann es eine Herausforderung sein, staatliche und staatlich geförderte Bedrohungsakteure richtig zu identifizieren und zu verfolgen“, schrieb Mike Parkin, Senior Technical Engineer bei Vulcan Cyber, in einer Erklärung. Die Tatsache, dass SentinelOne jetzt Informationen über eine APT-Gruppe veröffentlicht, die offenbar seit fast einem Jahrzehnt aktiv ist und nicht in anderen Listen auftaucht, zeigt, wie schwierig es sein kann, „sicher zu sein“, wenn man einen neuen Bedrohungsakteur identifiziert.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com

    Evidence suggests that a just-discovered APT has been active since 2013.

    Researchers have identified a small yet potent China-linked APT that has flown under the radar for nearly a decade running campaigns against government, education and telecommunication organizations in Southeast Asia and Australia.

    Researchers from SentinelLabs said the APT, which they dubbed Aoqin Dragon, has been operating since at least 2013. The APT is “a small Chinese-speaking team with potential association to [an APT called] UNC94,” they reported.

    Researchers say one of the tactics and techniques of Aoqin Dragon include using pornographic themed malicious documents as bait to entice victims to download them.

    “Aoqin Dragon seeks initial access primarily through document exploits and the use of fake removable devices,” researchers wrote.

    Aoqin Dragon’s Evolving Stealth Tactics

    Part of what’s helped Aoqin Dragon stay under the radar for so long is that they’ve evolved. For example, the means the APT used to infect target computers has evolved.

    In their first few years of operation, Aoqin Dragon relied on exploiting old vulnerabilities – specifically, CVE-2012-0158 and CVE-2010-3333 – which their targets might not have yet patched.

    Later, Aoqin Dragon created executable files with desktop icons that made them appear to look like Windows folders or antivirus software. These programs were actually malicious droppers which planted backdoors and then established connections back to the attackers’ command-and-control (C2) servers.

    Since 2018, the group has been utilizing a fake removable device as their infection vector. When a user clicks to open what seems to be a removable device folder, they in fact initiate a chain reaction which downloads a backdoor and C2 connection to their machine. Not only that, the malware copies itself to any actual removable devices connected to the host machine, in order to continue its spread beyond the host and, hopefully, into the target’s broader network.

    The group has employed other techniques to stay off-the-radar. They’ve used DNS tunneling – manipulating the internet’s domain name system to sneak data past firewalls. One backdoor leverage – known as Mongall – encrypts communication data between host and C2 server. Over time, the researchers said, the APT began slowly working the fake removable disc technique. This was done to ” pgraded the malware to protect it from being detected and removed by security products.”

    Nation-State Links

    Targets have tended to fall in just a few buckets – government, education and telecoms, all in and around Southeast Asia. Researchers assert “the targeting of Aoqin Dragon closely aligns with the Chinese government’s political interests.”

    Further evidence of China influence includes a debug log found by researchers that contains simplified Chinese characters.

    Most important of all, the researchers highlighted an overlapping attack on the president of Myanmar’s website back in 2014. In that case, police traced the hackers’ command-and-control and mail servers to Beijing. Aoqin Dragon’s two primary backdoors “have overlapping C2 infrastructure,” with that case, “and most of the C2 servers can be attributed to Chinese-speaking users.”

    Still, “properly identifying and tracking State and State Sponsored threat actors can be challenging,” Mike Parkin, senior technical engineer at Vulcan Cyber, wrote in a statement. “SentinelOne releasing the information now on an APT group that has apparently been active for almost a decade, and doesn’t appear in other lists, shows how hard it can be ‘to be sure’ when you’re identifying a new threat actor.”

    Zuerst war es die Pandemie, die den üblichen Zustand der Arbeit veränderte – vorher hieß es pendeln, im Büro arbeiten & nach Hause kommen für die meisten Unternehmensmitarbeiter. Als wir uns dann an die Regeln der Selbstisolierung anpassen mussten, verlagerte sich die Arbeit in die Heimbüros, was den Arbeitsablauf in vielen Unternehmen völlig veränderte.

    Als die Pandemie zurückging, wurde uns klar, dass der Erfolg nicht davon abhängt, wo die Arbeit erledigt wird. Ob Ihr Büro nun Ihre Küche, Ihr Schlafzimmer, ein Café in der Nähe oder Ihr eigentlicher Arbeitsplatz in einem Bürogebäude ist, es kommt darauf an, dass der berufliche Erfolg nichts mit dem Standort zu tun hat.

    Auch die Rolle des Büros im hybriden Zeitalter ändert sich – laut einer Studie von PwC dient es heute der Zusammenarbeit mit Teammitgliedern und dem Aufbau von Beziehungen. Aus der Sicht eines Mitarbeiters klingt das ziemlich logisch und offensichtlich.

    Betrachtet man die hybride Arbeit jedoch mit den Augen eines Arbeitgebers, wird es kompliziert. Wie stellt man sicher, dass die Firmengeräte & Daten geschützt bleiben, wenn sie nicht im Büro sind? Wie stellt man sicher, dass ein Mitarbeiter nicht einige der Unternehmensdateien auf sein eigenes Laufwerk kopiert oder einfach einen menschlichen Fehler begeht, indem er auf ein infiziertes Banner klickt oder versehentlich Malware herunterlädt?

    Die Unternehmensstrategie der Cybersicherheit sollte im Büro & zu Hause die gleiche bleiben.

    Cybersec im Unternehmen zu Hause

    Achten Sie bei der Suche nach Anbietern von Cybersicherheitslösungen auf Funktionen, die sowohl im Büro als auch außerhalb des Büros genutzt werden können. SafeDNS verfügt beispielsweise über eine AppBlocker-Funktion, die Apps & Ökosysteme blockiert. Man könnte sagen: „Aber die meisten Systeme haben integrierte App-Blockierprogramme“, und das stimmt auch.

    Zum Leidwesen der Arbeitgeber können sie leicht umgangen werden, indem man einfach auf die Web-Version einer App zugreift. Der SafeDNS AppBlocker ist in der Lage, den Zugriff auf alle Wege zu und um Apps wie Slack, Zoom, Dropbox und viele andere zu beschränken.

    Eine weitere wichtige Funktion für effizientes, flexibles Arbeiten im Büro und zu Hause ist das Roaming von Clients. Der Schutz des Unternehmensnetzwerks ist eine Sache, und er ist eine notwendige Ebene, aber die Installation von Webfiltersoftware auf Geräten ist am sinnvollsten, wenn das Gerät mit anderen Netzwerken verbunden ist, z. B. mit dem Heimnetzwerk. Die Installation von DNS-Filtersoftware auf Ihrem Arbeitsgerät ist ein Muss, denn sie ist eine der wichtigsten Ebenen der Cybersicherheit.

    Die Möglichkeit, Statistiken einzusehen und zu analysieren, ist eine weitere wichtige Funktion, die jede Cybersicherheitssoftware ergänzen muss. Bei der Webfilterung zeigen die Statistiken in der Regel, welche Website-Kategorien am häufigsten besucht werden, und die Protokolle zeigen die Aktionen eines Benutzers. Dies hilft zu verstehen, ob zeitraubende oder infektiöse Ressourcen besucht werden.

    Allgemeine Regeln für alle möglichen Arbeitsplätze wären, dass Sie Ihre Passwörter sicher (nicht in einem Dokument mit dem Namen Passwörter auf Ihrem Desktop) und kompliziert aufbewahren, dass Sie Ihren Posteingang mit einem E-Mail-Filter schützen, dass Sie eine Antivirensoftware einsetzen und nicht zuletzt, dass Sie Webinhalte filtern.

    Wir helfen Ihnen, flexibel zu werden

    Wir wissen, wie schwierig es sein kann, das hybride Leben für Sie und Ihre Mitarbeiter unter einen Hut zu bringen, und wir sind hier, um Ihnen dabei zu helfen, das gleiche Maß an Cybersicherheit zu wahren. Wir bieten Ihnen eine kostenlose 15-tägige Testversion an, mit der Sie testen können, wie die Filterung Sie & Ihre Daten vor Verletzungen schützen kann.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com