Die Infosec-News der Woche

Samstag 30. Juli – Freitag 5. August

Schwachstelle in Golang Anwendungen, Ransomware Infizierungen durch Windows Defender Tools, Krypto-Startup verliert fast 200 Millionen, neuer Malware Service “Dark Utilities” aufgetaucht, Backdoor Neuheit „Ljl“ entdeckt und China Manjusaka-Hacking-Framework frei verfügbar – hier unsere wöchentliche Zusammenfassung. 👩‍💻


Schwachstellen & Exploits

"ParseThru"- Schwachstelle betrifft Golang-Anwendungen

Sicherheitsexperten haben eine brandneue Schwachstelle mit dem Namen "ParseThru" entdeckt, die Golang-basierte Anwendungen betrifft und dazu genutzt werden könnte, sich unberechtigten Zugang zu Cloud-basierten Anwendungen zu verschaffen. [1]

Die neu entdeckte Schwachstelle "ermöglicht es einem Angreifer, Verifizierungen in bestimmten Fällen zu überwinden, indem er schädliche, in die Sprache eingebettete URL-Parsing-Algorithmen einsetzt", heißt es in einem Bericht des israelischen Cybersicherheitsunternehmens Oxeye.

Oxeye behauptet, zahlreiche Fälle von ParseThru in Open-Source-Programmen wie Harbor, Traefik und Skipper entdeckt zu haben, die es Anwendern ermöglichten, Sicherheitsvorkehrungen zu umgehen und unerlaubte Handlungen vorzunehmen. Nach der Übermittlung der Schwachstellen durch die Sicherheitsexperten, wurden die Schwachstellen in Golang behoben.

Das Sicherheitsrisiko durch URL-Parsing ist nicht neu. Claroty und Snyk entdeckten Anfang diesen Monats bereits etwa 8 Probleme in Bibliotheken von Drittanbietern, die in den Sprachen C, JavaScript, PHP, Python und Ruby erstellt wurden.

LockBit-Ransomware Infizierungen durch Windows Defender Tools

In einer kürzlich durchgeführten Analyse haben Forscher von SentinelOne festgestellt, dass Kriminelle das Windows Defender-Befehlszeilentool MpCmdRun.exe ausnutzen, um Cobalt Strike Payloads zu entschlüsseln und zu laden. Diese Akteure standen in Verbindung mit dem Ransomware-as-a-Service (RaaS)-Unternehmen LockBit 3.0. [2]

Die Angreifer kompromittieren die Zielnetzwerke durch die Ausnutzung der Log4j-Schwachstelle, die in ungepatchten VMWare Horizon Servern vorhanden war.

LockBit muss Erfahrung mit dem Side-Loading von Cobalt Strike Beacons auf kompromittierte Systeme haben; tatsächlich gibt es Berichte über Infektionsketten, die VMware-Befehlszeilenanwendungen ähnlich wie diese verwenden.

Die Betreiber der LockBit-Ransomware behaupten, ein Bug-Bounty-Programm zu haben, das bis zu 1 Million Dollar für Sicherheitslücken und andere Informationen zahlt. In der Cybersicherheitsbranche werden diese Behauptungen jedoch angezweifelt und eher als PR-Kampagne der kriminellen Organisation angesehen.


Sie möchten Ihr Unternehmen schützen, wissen aber nicht wie, wo man anfängt, wie das abläuft oder was das kostet? Wir beantworten Ihre Fragen und begleiten Sie von A bis Z. Rufen Sie uns an oder vereinbaren Sie einen Termin! 🙋‍♂️


Hacker-Gruppen und Kampagnen

„Free-for-all" Angriff - fast 200 Millionen Dollar aus Krypto-Startup erbeutet

Durch den Hack des Start-Ups Nomad wurden kürzlich Krypto-Währungen im Wert von fast 200 Millionen Dollar gestohlen. Nomad bestätigte den Angriff auf Twitter, gab aber nur bekannt, dass es den Vorfall untersuchen werde. [3]

Es ist unklar, wie genau der Angriff geplant war oder ob Nomad beabsichtigt, Nutzer zu entschädigen, die Token durch den Hack verloren haben. Als der US-Sender CNBC das Startup anrief, das sich selbst als "sicherer Cross-Chain-Messaging-Service" bezeichnet, war niemand für eine Stellungnahme zu erreichen.

Anders als bisher gesehene Angriffe auf Bridge-Dienste, wie die Hacks der Ronin Bridge im April oder der Harmony Horizon Bridge im Juni, entwickelte sich der Angriff auf Nomad in eine der chaotischsten Angriffe der Blockchain-Szene bisher. Andere Benutzer fingen an, die originalen Transaktionsdaten des Angreifers erneut an den Server sendeten und nahmen so selbst an dem Angriff teil. Daher wurde der Angriff auch als „free-for-all“ bezeichnet, da jeder die Schwachstelle zu eigenen Zwecken missbrauchen und Token entwenden konnte.

Neuer Service für Cyberkriminelle entdeckt

Sicherheitsforscher haben einen neuen Dienst namens „Dark Utilities“ entdeckt. Das Prinzip ist hierbei wie bei dem Modell Software as a Service: Die Software und die IT Infrastruktur liegt bei einem externen IT-Dienstleister und wird als Service vom Kunden genutzt. [4]

Dark Utilities bietet Angreifern diesen Service um Malware in der freien Wildbahn über die Command-and-Control-Infrastruktur (C2C) zu steuern und hat bereits 3000 aktive „Abonnenten“ laut einem Bericht von Cisco Talos. Der Startpreis liegt bei 9,99 € und bietet den Kunden des kriminellen Dienstes eine neue, anonyme und einfache Plattform um ihre Verbrechen auszuführen.

“Ljl-Backdoor” in gehacktem Atlassian Confluence Server entdeckt

Das Cybersicherheitsunternehmen Deepwatch entdeckte ende Mai einen Angriff auf ein ungenanntes Unternehmen aus der Forschungs- und technischen Dienstleistungsbranche, der Sieben Tage andauerte. [5]

Entdeckt wurde der Angriff, al sein der Einsatz eines verdächtigen Programmes, nb.exe, einen Alarm auslöste. Das Programm ist Teil des NBTScan Tools, welches zum Auffinden von NETBIOS Namensservern und offenen Netzlaufwerken verwendet werden kann.

Deepwatch schreibt in einem Bericht, dass die Verbrecher höchstwahrscheinlich über eine Sicherheitslücke in einem veralteten Atlassian Confluence Server eingedrungen sind und dort eine bis dahin unbekannte Backdoor eingesetzt haben, welche von den Sicherheitsexperten “Ljl-Backdoor” getauft wurde.


Wirtschaft, Politik und Kultur

Cyberkriminelle in China nutzen Manjusaka-Hacking-Framework

Forscher haben das Offensiv-Framework Manjusaka aufgedeckt, das sie als "chinesische Schwester von Sliver und Cobalt Strike" beschreiben. [6]

Einem neuen Bericht von Cisco Talos zufolge ist eine voll funktionsfähige Version des Command-and-Control (C2) frei verfügbar und kann leicht neue Implantate mit benutzerdefinierten Konfigurationen generieren, was die Wahrscheinlichkeit erhöht, dass Angreifer dieses Framework häufiger nutzen werden.

Kriminelle haben legale Adversary Emulation Frameworks wie Sliver und Cobalt Strike modifiziert, um nach der Ausbeutung Aufgaben wie Netzwerkaufklärung, seitliche Bewegungen durch Netzwerke und die einfachere Verteilung von folgenden Payloads durchzuführen.


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück. 👩📢