Mit der Lücke Log4Shell in der Java-Bibliothek Log4j kam die Angst, dass ein Wurm auftauchen könnte, der sich über Log4Shell eigenständig und großflächig im Internet verbreitet – ähnlich wie 2017 WannaCry, welches die Lücke EternalBlue ausnutzte. Nun wurde eine Schadsoftware namens „B1txor20“ entdeckt, welche zum Ziel hat, ein Linux-Botnetz aufzubauen. Sie nutzt DNS-Tunneling für die Steuerung (C&C) und zur Datenausleitung – und die Log4j-Schwachstelle zur Verbreitung. Da „B1txor20“ noch fehlerbehaftet ist und nur Linux infizieren kann, dürfte hier noch nicht […]

Je beliebter ein Dienst wird, desto mehr lohnen sich dort Phishing-Aktivitäten. Im Fall von Microsoft Teams lässt sich etwa seit Jahresbeginn ein starker Anstieg von Phishing-Angriffen beobachten. Immer häufiger werden im Chat schädliche oder irreführende Links bzw. Schadcode versandt. Falls Teams im Unternehmen nicht ganz offen konfiguriert ist, können sich Angreifer trotzdem Zugriff verschaffen, indem sie das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken. Oder es werden M365-Accounts kompromittiert und genutzt, die dann direkt den Zugriff zu Teams ermöglichen. https://www.heise.de/news/Phishing-und-Malware-Microsoft-Teams-rueckt-in-den-Fokus-von-Angreifern-6535246.html

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen in einer gemeinsamen Erklärung vor der Kompromittierung von Netzwerken von NGOs durch russische Akteure. Dabei wurde in mehreren Fällen insbesondere auch eine nicht ausreichend sicher konfigurierte Zweifaktorauthentifizierung ausgehebelt. Für bestimmte Nutzer der Lösung Cisco Duo waren Ausnahmen definiert, die den Angreifern erlaubten, neue Accounts mit höheren Rechten anzulegen. Außerdem kam die kritische Drucker-Schwachstelle PrintNightmare (CVE-2021-34527) zum Einsatz, um Rechte auszuweiten. Am Ende erfolgte ein Ausleiten von E-Mails und Dokumenten […]

VirusTotal ist ein beliebter Dienst von Google, der hochgeladene Dateien mit über 70 verschiedenen Antivirenprogrammen prüft. Was nicht alle Nutzer wissen: Abonnenten der Produkte VirusTotal Intelligence und VT Enterprise erhalten Zugriff auf alle hochgeladenen Dateien. Zu den Kunden dieser Services gehören neben IT-(Security-)Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten. Das BSI warnt daher zu Recht, dass jeder Upload von sensiblen Daten als Datenabfluss gewertet werden muss. Eine Alternative stellt die Prüfung von Hashes dar, bei der die Datei selbst […]

Zwar lässt der große Cyberwar noch auf sich warten, Das heißt aber nicht, dass nicht bereits Aktivitäten im Cyberraum stattfinden, die auch Auswirkungen auf uns haben. So hat eine Cyberattacke das Satelliten-Breitband-Internet des Anbieters Viasat teilweise lahmgelegt. Die Angreifer konnten sogenannte Terminals – also Modems am Boden, die mit den Satelliten kommunizieren – permanent deaktivieren, sodass diese reprogrammiert oder gar ausgetauscht werden müssen. Viasat wird u. a. von ukrainischer Polizei und Militär genutzt, aber auch von NATO-Partnern wie den USA. Lahmgelegt […]

Rund um Seattle sind Fahrer eines bestimmten Automodells Opfer eines merkwürdigen Effektes geworden. Bei Mazdas der Baujahre 2014 bis 2017 wurde das Infotainment-System so nachhaltig gestört, dass das Radio auf einem bestimmten Sender festhing. Das Problem ließ sich nur durch den Austausch der 1.500 US-Dollar teuren „Connectivity Master Unit“ beheben, welche in der aktuellen weltweiten Chipknappheit schwer zu bekommen ist. Wie sich herausstellte, hatte der lokale Sender KUOW Updates versandt, die keine Dateinamenerweiterung trugen. Diese schickten das Gerät in eine Endlos-Boot-Sequenz. […]

Sicherheitsforscherinnen und -forscher aus den Reihen des Chaos Computer Clubs (CCC) waren in den vergangenen Wochen wieder einmal aktiv und haben unter dem Motto „Web-Patrouille“ das Netz großflächig nach Datenlecks abgesucht. Dabei wurden sie reichlich fündig: 6,4 Millionen personenbezogene Datensätze in 50 Datenleaks, die jeweils ungesichert, offen zugänglich waren, etwa in Git-Repositories oder Elasticsearch-Instanzen. Betroffen waren sowohl staatliche Einrichtung als auch Unternehmen. Die Reaktionen der Betroffenen waren unterschiedlich, aber immerhin wurde keine Strafanzeige gestellt, und der Großteil der Organisationen bedankte […]

Vor etwa zwanzig Jahren machte ein neuartiges Angriffsmuster Furore, mit dem sich Viren fast perfekt tarnen und so zum fatalen Doppelklick verleiten konnten: Bei „Right-to-Left Override“ (RLO) wird ein spezielles Steuerzeichen gesendet, durch welches die Textrichtung auf rechts-nach-links umgestellt wird. Dies ist wichtig für bestimmte Sprachen wie Hebräisch oder Arabisch, bei denen von rechts gelesen wird. In der Vergangenheit wurden so gefährliche Dateiendungen wie „.exe“ – wenn man der Anzeige glaubt – mitten im Dateinamen versteckt. Derartige Angriffe werden längst […]

Auch die Malware Trickbot blickt schon auf eine wechselhafte Geschichte seit ihrer Erschaffung 2016 zurück. Im Oktober 2020 war es US-amerikanischen Behörden und ihren Partnern gelungen, die Operationen der Tätergruppe erfolgreich technisch anzugreifen und so den Betrieb von Trickbot fast zum Erliegen zu bringen. Heute trumpft die inzwischen wiederbelebte Malware mit neuen Modulen auf, mit welchen insbesondere gezielt Kunden bekannter Unternehmen wie Amazon oder PayPal angegriffen werden sollen. Trickbot ist damit vom Bedrohungspotenzial mittlerweile wieder Nummer 1 des inoffiziellen Malware-Rankings.