Würmling: Schadsoftware nutzt Log4j zur Fortpflanzung

Mit der Lücke Log4Shell in der Java-Bibliothek Log4j kam die Angst, dass ein Wurm auftauchen könnte, der sich über Log4Shell eigenständig und großflächig im Internet verbreitet – ähnlich wie 2017 WannaCry, welches die Lücke EternalBlue ausnutzte.

Nun wurde eine Schadsoftware namens „B1txor20“ entdeckt, welche zum Ziel hat, ein Linux-Botnetz aufzubauen. Sie nutzt DNS-Tunneling für die Steuerung (C&C) und zur Datenausleitung – und die Log4j-Schwachstelle zur Verbreitung. Da „B1txor20“ noch fehlerbehaftet ist und nur Linux infizieren kann, dürfte hier noch nicht die große Pandemie drohen. Der Fund sollte uns jedoch als Erinnerung dienen, dass die Gefahr eines nächsten großen Wurms alles andere als gebannt ist.

https://thehackernews.com/2022/03/new-b1txor20-linux-botnet-uses-dns.html

Wein, Wipe und Abgesang: NPM-Paket macht Cyberwar

Ein weitverbreitetes NPM-Paket wurde sabotiert, um russische und belarussische Systeme zu manipulieren.

Wohl um gegen die Invasion der Ukraine zu protestieren, haben Entwickler des Pakets Node-ipc den Code so modifiziert, dass bei Systemen mit in Russland oder Belarus zu verortenden IP-Adressen Dateien gelöscht (Wiper) und mit Herz-Emojis überschrieben werden.

Node-ipc ist ein beliebtes Modul für Inter-Prozess-Kommunikation (IPC) im Node.js-Ökosystem. Es wird über 1,1 Millionen Mal pro Woche heruntergeladen. Betroffen waren die Versionen 10.1.1 und 10.1.2.

https://thehackernews.com/2022/03/popular-npm-package-updated-to-wipe.html

Koreanjuwelen: Samsungs Security-Code gestohlen

Die in letzter Zeit extrem effizient und öffentlichkeitswirksam agierende Hackergruppe LAPSUS$ hat die IT-Infrastruktur des südkoreanischen Elektronikherstellers Samsung kompromittiert. Dabei wurden 190 GB sicherheitsrelevanter Daten erbeutet, die als Torrent geleakt wurden.

Darin enthalten ist der Quelltext diverser Softwareprodukte, etwa für Trusted Applets (Hardware-Encryption), biometrische Entsperrmechanismen und Bootloader für alle aktuellen Samsung-Geräte. Auch Samsungs Authentifizierungssystem dürfte nun als allgemein bekannt gelten.

https://www.golem.de/news/lapsus-hacker-veroeffentlichen-sicherheitsrelevante-samsung-daten-2203-163669.html

This Went 2FA: NGOs trotz 2FA kompromittiert

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen in einer gemeinsamen Erklärung vor der Kompromittierung von Netzwerken von NGOs durch russische Akteure. Dabei wurde in mehreren Fällen insbesondere auch eine nicht ausreichend sicher konfigurierte Zweifaktorauthentifizierung ausgehebelt. Für bestimmte Nutzer der Lösung Cisco Duo waren Ausnahmen definiert, die den Angreifern erlaubten, neue Accounts mit höheren Rechten anzulegen.

Außerdem kam die kritische Drucker-Schwachstelle PrintNightmare (CVE-2021-34527) zum Einsatz, um Rechte auszuweiten. Am Ende erfolgte ein Ausleiten von E-Mails und Dokumenten aus der Cloud.

https://www.cisa.gov/uscert/sites/default/files/publications/AA22-074A_Russian_State-Sponsored_Cyber_Actors_Gain_Network_Access_by_Exploiting_Default_MFA_and_PrintNightmare.pdf

Team-Würg: Phishing mittels MS Teams

Je beliebter ein Dienst wird, desto mehr lohnen sich dort Phishing-Aktivitäten. Im Fall von Microsoft Teams lässt sich etwa seit Jahresbeginn ein starker Anstieg von Phishing-Angriffen beobachten. Immer häufiger werden im Chat schädliche oder irreführende Links bzw. Schadcode versandt.

Falls Teams im Unternehmen nicht ganz offen konfiguriert ist, können sich Angreifer trotzdem Zugriff verschaffen, indem sie das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken. Oder es werden M365-Accounts kompromittiert und genutzt, die dann direkt den Zugriff zu Teams ermöglichen.

https://www.heise.de/news/Phishing-und-Malware-Microsoft-Teams-rueckt-in-den-Fokus-von-Angreifern-6535246.html

Kolossal schade: Kollateralschäden durch Cyberangriff auf Satelliten-Terminals

Zwar lässt der große Cyberwar noch auf sich warten, Das heißt aber nicht, dass nicht bereits Aktivitäten im Cyberraum stattfinden, die auch Auswirkungen auf uns haben.

So hat eine Cyberattacke das Satelliten-Breitband-Internet des Anbieters Viasat teilweise lahmgelegt. Die Angreifer konnten sogenannte Terminals – also Modems am Boden, die mit den Satelliten kommunizieren – permanent deaktivieren, sodass diese reprogrammiert oder gar ausgetauscht werden müssen. Viasat wird u. a. von ukrainischer Polizei und Militär genutzt, aber auch von NATO-Partnern wie den USA.

Lahmgelegt wurden durch den Angriff jedoch nicht nur Terminals in der Ukraine, sondern auch zehntausende in anderen Ländern. In Deutschland waren insbesondere Windkraftanlagen betroffen, deren Kommunikation und damit Überwachung nicht mehr verfügbar war.

https://www.reversemode.com/2022/03/satcom-terminals-under-attack-in-europe.html

DatenabflussTotal: VirusTotal teilt Uploads mit Kunden

VirusTotal ist ein beliebter Dienst von Google, der hochgeladene Dateien mit über 70 verschiedenen Antivirenprogrammen prüft. Was nicht alle Nutzer wissen: Abonnenten der Produkte VirusTotal Intelligence und VT Enterprise erhalten Zugriff auf alle hochgeladenen Dateien. Zu den Kunden dieser Services gehören neben IT-(Security-)Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten. Das BSI warnt daher zu Recht, dass jeder Upload von sensiblen Daten als Datenabfluss gewertet werden muss.

Eine Alternative stellt die Prüfung von Hashes dar, bei der die Datei selbst nicht hochgeladen wird. Hierbei wird lediglich der Besitz von Dateien geleakt, deren Hash anderen bereits bekannt ist, nicht die Inhalte von Dateien, die für das Unternehmen spezifisch sind.

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-206270-1032.pdf?__blob=publicationFile&v=3

Ausgesiebt: CCC findet massenhaft Datenlecks

Sicherheitsforscherinnen und -forscher aus den Reihen des Chaos Computer Clubs (CCC) waren in den vergangenen Wochen wieder einmal aktiv und haben unter dem Motto „Web-Patrouille“ das Netz großflächig nach Datenlecks abgesucht. Dabei wurden sie reichlich fündig: 6,4 Millionen personenbezogene Datensätze in 50 Datenleaks, die jeweils ungesichert, offen zugänglich waren, etwa in Git-Repositories oder Elasticsearch-Instanzen.

Betroffen waren sowohl staatliche Einrichtung als auch Unternehmen. Die Reaktionen der Betroffenen waren unterschiedlich, aber immerhin wurde keine Strafanzeige gestellt, und der Großteil der Organisationen bedankte sich sogar.

https://www.ccc.de/de/updates/2022/web-patrouille-ccc

Radiodead: Radio zerstört Mazda-IT

Rund um Seattle sind Fahrer eines bestimmten Automodells Opfer eines merkwürdigen Effektes geworden. Bei Mazdas der Baujahre 2014 bis 2017 wurde das Infotainment-System so nachhaltig gestört, dass das Radio auf einem bestimmten Sender festhing. Das Problem ließ sich nur durch den Austausch der 1.500 US-Dollar teuren „Connectivity Master Unit“ beheben, welche in der aktuellen weltweiten Chipknappheit schwer zu bekommen ist.

Wie sich herausstellte, hatte der lokale Sender KUOW Updates versandt, die keine Dateinamenerweiterung trugen. Diese schickten das Gerät in eine Endlos-Boot-Sequenz.

https://arstechnica.com/cars/2022/02/radio-station-snafu-in-seattle-bricks-some-mazda-infotainment-systems/

Attacke von rechts: Alter RLO-Angriff wiederbelebt

Vor etwa zwanzig Jahren machte ein neuartiges Angriffsmuster Furore, mit dem sich Viren fast perfekt tarnen und so zum fatalen Doppelklick verleiten konnten: Bei „Right-to-Left Override“ (RLO) wird ein spezielles Steuerzeichen gesendet, durch welches die Textrichtung auf rechts-nach-links umgestellt wird. Dies ist wichtig für bestimmte Sprachen wie Hebräisch oder Arabisch, bei denen von rechts gelesen wird.

In der Vergangenheit wurden so gefährliche Dateiendungen wie „.exe“ – wenn man der Anzeige glaubt – mitten im Dateinamen versteckt. Derartige Angriffe werden längst von gängigen Antivirenprogrammen erkannt, sodass sie praktisch keine Rolle mehr spielen.

Nun ist der alte Hut wieder aufgetaucht und wird aktuell etwa in Phishing-Kampagnen im Rahmen von Microsoft 365 verwendet, um gefährliche Klicks harmlos aussehen zu lassen.

https://www.darkreading.com/attacks-breaches/threat-actors-revive-20-year-old-tactic-in-microsoft-365-phishing-attacks