Autor: David Fuhr

Je beliebter ein Dienst wird, desto mehr lohnen sich dort Phishing-Aktivitäten. Im Fall von Microsoft Teams lässt sich etwa seit Jahresbeginn ein starker Anstieg von Phishing-Angriffen beobachten. Immer häufiger werden im Chat schädliche oder irreführende Links bzw. Schadcode versandt.

Falls Teams im Unternehmen nicht ganz offen konfiguriert ist, können sich Angreifer trotzdem Zugriff verschaffen, indem sie das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken. Oder es werden M365-Accounts kompromittiert und genutzt, die dann direkt den Zugriff zu Teams ermöglichen.

https://www.heise.de/news/Phishing-und-Malware-Microsoft-Teams-rueckt-in-den-Fokus-von-Angreifern-6535246.html

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen in einer gemeinsamen Erklärung vor der Kompromittierung von Netzwerken von NGOs durch russische Akteure. Dabei wurde in mehreren Fällen insbesondere auch eine nicht ausreichend sicher konfigurierte Zweifaktorauthentifizierung ausgehebelt. Für bestimmte Nutzer der Lösung Cisco Duo waren Ausnahmen definiert, die den Angreifern erlaubten, neue Accounts mit höheren Rechten anzulegen.

Außerdem kam die kritische Drucker-Schwachstelle PrintNightmare (CVE-2021-34527) zum Einsatz, um Rechte auszuweiten. Am Ende erfolgte ein Ausleiten von E-Mails und Dokumenten aus der Cloud.

https://www.cisa.gov/uscert/sites/default/files/publications/AA22-074A_Russian_State-Sponsored_Cyber_Actors_Gain_Network_Access_by_Exploiting_Default_MFA_and_PrintNightmare.pdf

VirusTotal ist ein beliebter Dienst von Google, der hochgeladene Dateien mit über 70 verschiedenen Antivirenprogrammen prüft. Was nicht alle Nutzer wissen: Abonnenten der Produkte VirusTotal Intelligence und VT Enterprise erhalten Zugriff auf alle hochgeladenen Dateien. Zu den Kunden dieser Services gehören neben IT-(Security-)Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten. Das BSI warnt daher zu Recht, dass jeder Upload von sensiblen Daten als Datenabfluss gewertet werden muss.

Eine Alternative stellt die Prüfung von Hashes dar, bei der die Datei selbst nicht hochgeladen wird. Hierbei wird lediglich der Besitz von Dateien geleakt, deren Hash anderen bereits bekannt ist, nicht die Inhalte von Dateien, die für das Unternehmen spezifisch sind.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-206270-1032.pdf?__blob=publicationFile&v=3

Zwar lässt der große Cyberwar noch auf sich warten, Das heißt aber nicht, dass nicht bereits Aktivitäten im Cyberraum stattfinden, die auch Auswirkungen auf uns haben.

So hat eine Cyberattacke das Satelliten-Breitband-Internet des Anbieters Viasat teilweise lahmgelegt. Die Angreifer konnten sogenannte Terminals – also Modems am Boden, die mit den Satelliten kommunizieren – permanent deaktivieren, sodass diese reprogrammiert oder gar ausgetauscht werden müssen. Viasat wird u. a. von ukrainischer Polizei und Militär genutzt, aber auch von NATO-Partnern wie den USA.

Lahmgelegt wurden durch den Angriff jedoch nicht nur Terminals in der Ukraine, sondern auch zehntausende in anderen Ländern. In Deutschland waren insbesondere Windkraftanlagen betroffen, deren Kommunikation und damit Überwachung nicht mehr verfügbar war.

https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html

Rund um Seattle sind Fahrer eines bestimmten Automodells Opfer eines merkwürdigen Effektes geworden. Bei Mazdas der Baujahre 2014 bis 2017 wurde das Infotainment-System so nachhaltig gestört, dass das Radio auf einem bestimmten Sender festhing. Das Problem ließ sich nur durch den Austausch der 1.500 US-Dollar teuren „Connectivity Master Unit“ beheben, welche in der aktuellen weltweiten Chipknappheit schwer zu bekommen ist.

Wie sich herausstellte, hatte der lokale Sender KUOW Updates versandt, die keine Dateinamenerweiterung trugen. Diese schickten das Gerät in eine Endlos-Boot-Sequenz.

https://arstechnica.com/cars/2022/02/radio-station-snafu-in-seattle-bricks-some-mazda-infotainment-systems/

Sicherheitsforscherinnen und -forscher aus den Reihen des Chaos Computer Clubs (CCC) waren in den vergangenen Wochen wieder einmal aktiv und haben unter dem Motto „Web-Patrouille“ das Netz großflächig nach Datenlecks abgesucht. Dabei wurden sie reichlich fündig: 6,4 Millionen personenbezogene Datensätze in 50 Datenleaks, die jeweils ungesichert, offen zugänglich waren, etwa in Git-Repositories oder Elasticsearch-Instanzen.

Betroffen waren sowohl staatliche Einrichtung als auch Unternehmen. Die Reaktionen der Betroffenen waren unterschiedlich, aber immerhin wurde keine Strafanzeige gestellt, und der Großteil der Organisationen bedankte sich sogar.

https://www.ccc.de/de/updates/2022/web-patrouille-ccc

Vor etwa zwanzig Jahren machte ein neuartiges Angriffsmuster Furore, mit dem sich Viren fast perfekt tarnen und so zum fatalen Doppelklick verleiten konnten: Bei „Right-to-Left Override“ (RLO) wird ein spezielles Steuerzeichen gesendet, durch welches die Textrichtung auf rechts-nach-links umgestellt wird. Dies ist wichtig für bestimmte Sprachen wie Hebräisch oder Arabisch, bei denen von rechts gelesen wird.

In der Vergangenheit wurden so gefährliche Dateiendungen wie „.exe“ – wenn man der Anzeige glaubt – mitten im Dateinamen versteckt. Derartige Angriffe werden längst von gängigen Antivirenprogrammen erkannt, sodass sie praktisch keine Rolle mehr spielen.

Nun ist der alte Hut wieder aufgetaucht und wird aktuell etwa in Phishing-Kampagnen im Rahmen von Microsoft 365 verwendet, um gefährliche Klicks harmlos aussehen zu lassen.

https://www.darkreading.com/attacks-breaches/threat-actors-revive-20-year-old-tactic-in-microsoft-365-phishing-attacks

Auch die Malware Trickbot blickt schon auf eine wechselhafte Geschichte seit ihrer Erschaffung 2016 zurück. Im Oktober 2020 war es US-amerikanischen Behörden und ihren Partnern gelungen, die Operationen der Tätergruppe erfolgreich technisch anzugreifen und so den Betrieb von Trickbot fast zum Erliegen zu bringen.

Heute trumpft die inzwischen wiederbelebte Malware mit neuen Modulen auf, mit welchen insbesondere gezielt Kunden bekannter Unternehmen wie Amazon oder PayPal angegriffen werden sollen. Trickbot ist damit vom Bedrohungspotenzial mittlerweile wieder Nummer 1 des inoffiziellen Malware-Rankings.

In den letzten Monaten hatten wir verschiedentlich über Erfolge im Kampf gegen Ransomware berichten können. Unter anderem waren Strafverfolgungsbehörden einige spektakuläre Aktionen gegen bestimmte Ransomware-Gruppen wie REvil gelungen.

Nun scheint sich dieser Trend umzukehren. In einer gemeinsamen Stellungnahme warnen mehrere für Cybersicherheit zuständige Organisationen der USA, Australiens und Großbritanniens vor zunehmenden Ransomware-Attacken. Diese zielten besonders auf kritische Infrastrukturen ab.

https://www.zdnet.com/article/ransomware-warning-attacks-are-rising-and-theyll-keep-coming-if-victims-keep-paying/