Die Infosec-News der Woche

Freitag 16. Juli - Donnerstag 21. Juli

Millionen anfällige Fahrzeuge, Joker-Malware im Play Store, Cyberattacken auf Restaurants, Ransomware, gestohlene NFTs und Hacker-Angriffe auf Belgien und Ukraine. Auch diese Woche war wieder einiges los - hier die Zusammenfassung.


Schwachstellen und Sicherheitslücken

Bugs in GPS-Trackern bedrohen 1,5 Millionen Fahrzeuge

Nach Angaben der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) könnten einige ungepatchte Sicherheitslücken in den MiCODUS MV720 Global Positioning System (GPS)-Trackern, die in mehr als 1,5 Millionen Fahrzeugen installiert sind, teils lebensbedrohliche Auswirkungen haben. Beispielsweise könnte die Benzinzufuhr zu Fahrzeugen unterbrochen oder Fahrzeuge auf Schnellstraßen angehalten werden. [1]

Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums, die die Warnung in Verbindung mit der BitSight-Forschung herausgegeben hat, hat CVE-Referenzen für fünf der gefundenen Schwachstellen vergeben: CVE-2022-2107, CVE-2022-2141, CVE-2022-2199, CVE-2022-34150 und CVE-2022-33944.

Nachdem MiCODUS mehrmals erfolglos wegen der Schwachstellen kontaktiert wurde, behauptete BitSight, seine Erkenntnisse mit CISA kommuniziert zu haben. Die Schwachstelle, dass ein Standard-Passwort von 123456 gesetzt ist wurde nicht als Sicherheitslücke angesehen und erhielt entsprechend keine CVE-Nummer.


Automatisierte Schwachstellenscans prüfen Anwendungen, Server und Netzwerke auf vorhandene CVEs, also auf bekannte Sicherheitslücken. Unsere manuellen Schwachstellenanalysen und Penetrationstests gehen darüber hinaus und prüfen Ihre Infrastruktur vollumfänglich auf Risiken, damit Sie stets den Überblick haben und nicht im dunkeln tappen. 💡


Joker-Malware in Play Store-Apps: Forscher

Kriminelle finden immer wieder Wege, die Sicherheitsmaßnahmen von Google zu umgehen, um unvorsichtige Verbraucher zum Herunterladen gefälschter Apps zu verleiten. Laut einer Veröffentlichung der Forscher Viral Gandhi und Himanshu Sharma vom Montag ist Joker eine der bekanntesten Malware-Familien, die auf Android-Smartphones abzielt. [2]

Vier Anwendungen aus dem Google Play Store - Smart SMS Messages, Blood Pressure Monitor, Voice Languages Translator und Quick Text SMS - enthielten die Joker-Malware, so das Cybersecurity Research-Unternehmen Pradeo (via SamMobile).

Google entfernte die Apps, als das Team Google benachrichtigte, aber mit insgesamt über 100.000 Installationen könnten viele Nutzer bereits in Gefahr sein. Wer eine dieser Apps heruntergeladen haben, sollte diese dringend entfernen, da Hacker diese Apps als Hintertür nutzen könnten, um das Android-Gerät mit zusätzlicher Malware zu infizieren.


Hacker-Gruppen und Kampagnen

Cyberattacken zielen auf 300 US-Restaurants

Zwei Web-Skimming-Angriffe, die auf drei Online-Bestellplattformen abzielten, haben zum Diebstahl von Zahlungskartendaten von Gästen von mehr als 300 Restaurants geführt. [3]

Laut Bleeping Computer wurden zwei Magecart-Kampagnen, die bösartige Malware in die Online-Bestell-Websites von MenuDrive, Harbortouch und InTouchPOS einschleusten, kürzlich von der Threat-Detection-Technologie (Bedrohungserkennung) von Recorded Future entdeckt.

Nach [Angaben von Recorded Future]() sind beide Initiativen noch immer aktiv, und die jeweiligen Infiltrationsdomänen sind immer noch zugänglich und einsatzbereit. Das Sicherheitsunternehmen hat alle betroffenen Organisationen über den Magecart-Skimmer-Befall informiert, aber noch keine Antwort erhalten. Dementsprechend wurden Zahlungsplattformen und staatliche Stellen informiert. Scannen Sie alle Restaurant-Subdomains in MenuDrive und Harbortouch, um Magecart-Skimmer zu entfernen.

BlackBasta Ransomware greift Knauf an

Die Knauf-Gruppe, ein globaler deutscher Anbieter von Bau- und Konstruktionsmaterialien, war Ende letzten Monats Ziel eines Angriffs, für den sich laut BleepingComputer die BlackBasta-Ransomware-Bande verantwortlich zeichnet. [4]

Am 29. Juni war Knauf das Ziel eines Angriffs, der das Unternehmen zwang, seine E-Mail-Infrastruktur abzuschalten, während es sich auf die Reaktion auf den Vorfall und die Aufräumarbeiten konzentrierte.

Über 350 Besucher haben auf 20 % des Materials zugegriffen, das die Ransomware-Bande Berichten zufolge während des Angriffs auf Knauf exfiltriert hat. Im April 2022 startete die Ransomware-Gruppe Black Basta ihren RaaS-Betrieb. Sie wurde schnell zu einem wichtigen Akteur auf dem Markt der doppelten Erpressung mit mehreren prominenten Opfern.

314 NFTs wurden von Premint NFT, einer beliebten NFT-Plattform, gestohlen

Ein Angriff auf die bekannte NFT-Plattform Premint NFT führte zur Kompromittierung ihrer offiziellen Website und zum Diebstahl von 314 NFTs. Laut den Spezialisten des Blockchain-Sicherheitsunternehmens CertiK handelt es sich um einen der bedeutendsten NFT-Angriffe der Geschichte. [5]

Über eine URL schleusten die Hacker schädlichen JavaScript-Code auf die Website von PREMINT ein. Nachdem jedoch der Domain Name Server (DNS) abgeschaltet wurde, war die Datei nicht mehr zugänglich.

Einem Bericht des Blockchain-Sicherheitsunternehmens Certik zufolge, der letzte Woche veröffentlicht wurde, stehen derzeit sechs Externally Owned Accounts (EOAs) in direktem Zusammenhang mit dem Hack. Von den kompromittierten Konten erbeuteten die Bedrohungsakteure etwa 275 ETH oder 375.000 US-Dollar in NFTs.

PREMINT rät Nutzern, die glauben, dass ihre Wallet kompromittiert wurde, Maßnahmen zu ergreifen, um schädliche Berechtigungen zu entfernen oder ihr Vermögen auf andere Wallets zu übertragen. In einem Tweet am Sonntag betonte die Plattform, wie wichtig es ist, keine Transaktionen zu unterzeichnen, die eine "festgelegte Genehmigung für alle" erfordern.


Wirtschaft, Politik und Kultur

CMMF deckt Malware in der Ukraine auf

Die IOCs der in der Ukraine gefundenen Malware wurden von der Cyber National Mission Force (CNMF) des Department of Defense Cyber Command veröffentlicht. Um unsere kollektive Cybersicherheit zu stärken, teilen unsere ukrainischen Partner aktiv bösartiges Verhalten, das sie entdecken, mit uns, genauso wie wir es mit ihnen tun, so die CNMF. [6]

Die US Cybersecurity & Infrastructure Security Agency (CISA) empfiehlt Benutzern und Administratoren für detaillierte Informationen die Pressemitteilung des U.S. Cyber Command mit dem Titel "Cyber National Mission Force reveals IOCs from Ukrainian networks" sowie die VirusTotal- und GitHub-Seiten der Organisation zu lesen.

Chinesische Hacker greifen Belgiens Verteidigungsministerium an

Nach Angaben des belgischen Außenministeriums waren das Verteidigungs- und das Innenministerium Ziel von Cyberangriffen durch chinesische Hacker. Das Ministerium fordert nun die chinesischen Behörden auf, eine Untersuchung einzuleiten und das Problem zu lösen. [7]

Nach dem Kauf von Hunderten von Huawei-WLAN-Routern Anfang 2022 kritisierten belgische Medien das Verteidigungsministerium für sein unzureichendes Cybersicherheitsprotokoll. Aufgrund der Sorge vor Sicherheitsverletzungen durch China haben mehrere Regierungen, darunter Großbritannien, beschlossen, Huawei die Arbeit an der 5G-Einführung zu untersagen. Die Ausrüstung von Huawei wird als Sicherheitsrisiko angesehen.

Darüber hinaus haben die chinesischen Unternehmen Hikvision und Dahua, deren Technologie Fehler aufweist und leicht gehackt werden kann, Videoüberwachungsgeräte an das belgische Verteidigungsministerium verkauft.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩‍💻