Die Infosec-News der Woche

Freitag 2. September – Freitag 9. September

Neues Phishing Toolkit im Darknet, SharkBot-Malware im Google Playstore, Samsung Datenpanne bestätigt, kein Patch mehr für Cisco Zero-Day, kritische Bankkundendaten gestohlen, Ransomware, DDoS, Spionage durch Haushälter, Geheimdienste gegen Bot-Farmen und natürlich Cyberangriffe – in den Infosec News der Woche gibt es dieses Mal mehr als in die Zusammenfassung passt.


Schwachstellen & Exploits

EvilProxy Phishing Toolkit in Dark Web Foren gefunden

Nach dem jüngsten Twilio-Hack, bei dem OTP-Codes* der 2-Faktor-Authentifizierung durchsickerten, optimieren Cyberkriminelle ihre Angriffswerkzeuge weiter, um ausgeklügelte Phishing-Kampagnen zu planen, die sich an Menschen auf der ganzen Welt richten. [1]

Vor kurzem entdeckte „Resecurity“ einen brandneuen Phishing-as-a-Service (PhaaS) Dienst mit dem Namen „EvilProxy“, der im Dark Web beworben wurde. Anderen Quellen zufolge lautet der alternative Name „Moloch“ und bezieht sich auf ein Phishing-Toolkit**, das von mehreren bekannten Cyberkriminellen aus dem Untergrund entwickelt wurde, die bereits Finanzinstitute und die E-Commerce-Branche ins Visier genommen haben. Das EvilProxy-Tool hat dieses Mal die gleichen Techniken verwendet.

* OTP steht für One-Time Password, also ein Passwort oder Code, welches nur einmal verwendet wird ** Ein Phishing-Tool-Kit ist eine Sammlung von Software-Tools um einen Phishing-Angriff durchzuführen

Google Play SharkBot Malware taucht wieder auf, um Zugangsdaten zu stehlen

Die NCC Group hat neue Versionen der mobilen Malware „SharkBot“ im Google Play Store entdeckt. [2]

Ein brandneuer Blogbeitrag, zu der Malware und den Programmen, in denen sie sich versteckt, wurde von der Fox-IT-Abteilung der NCC Group veröffentlicht. Die neueste Version von SharkBot zielt offenbar darauf ab, die Finanzdaten von Android-Nutzern zu stehlen. Die Forscher fanden insgesamt 60.000 Installationen für die gefundenen Apps. Inzwischen hat der Play Store die Apps, darunter Mister Phone Cleaner und Kylhavy Mobile Security, aus dem Angebot entfernt.

Die Forscher wiesen darauf hin, dass die neue Malware-Variante nicht darauf angewiesen ist, dass die Nutzer den Zugriff auf die Barrierefreiheit akzeptieren, um die Installation des Droppers* durchzuführen. Daher könnte sie schwieriger zu erkennen sein.

Als Teil eines gefälschten App-Updates fordern die Apps das Opfer auf, den Virus zu installieren. Beide Anwendungen bewerben die Malware-Installation als Update für das Antivirenprogramm und sind auf Schutz ausgerichtet.

* Dropper ist ein eigenständig ausführbares Computerprogramm

Die US-Bundessteuerbehörde (IRS) gibt 120 Tausend Steuerzahlerdaten versehentlich preis

Nach Angaben des Finanzministeriums hat die Steuerbehörde (Internal Revenue Service) versehentlich private Daten von 120.000 Steuerzahlern auf ihrer Website veröffentlicht, bevor sie den Fehler entdeckte und die Informationen entfernte. [3]

Die Behörde teilte am Freitag mit, dass sie nicht nur Informationen aus dem Formular 990-T für Wohltätigkeitsorganisationen mit Offenlegungspflicht veröffentlichte, sondern auch unbeabsichtigt Informationen einer Untergruppe der Steuerzahler preisgab, die nicht für die Öffentlichkeit bestimmt waren.

Einige maschinenlesbare (XML-)Daten des Formulars 990-T, die über die Suchfunktion für steuerbefreite Organisationen (Tax Exempt Organization Search - TEOS) für den Massen-Download zugänglich gemacht wurden, sind versehentlich zu Verfügung gestellt worden.

Andere Bereiche von TEOS, auf die häufiger zugegriffen wird, sind davon nicht betroffen; dieser Bereich wird hauptsächlich von Personen genutzt, die maschinenlesbare Daten verwenden können.


Fälle wie den der IRS gibt es leider viele. Als Penetrationstester erleben wir häufig, dass Anwendungen wie die Suchfunktion auf der Webseite für Steuerzahler zweckentfremdet werden können.

Wir klären Sie gerne auf, wie Sie Ihre Anwendungen und Infrastruktur vor Angriffen jeglicher Art schützen, sei es vor dem unbekannten Hacker aus dem Netz, einem Kunden oder sogar dem Mitarbeiter, der eine interne Funktion missbrauchen möchte.

Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch!


Samsung bestätigt erneute Datenpanne

Samsung teilte mit, dass einige seiner US-Systeme Ende Juli 2022 kompromittiert wurden. Das Unternehmen stellte fest, dass auch auf persönliche Kundendaten Zugriff stattgefunden hat. [4]

Sozialversicherungs- oder Kreditkartennummern sollen nach eigenen Angaben nicht enthalten sein. Die Kriminellen ergatterten jedoch in einzelnen Fällen andere kritische Information wie Namen, Kontakte, Geburtsdaten und auch Produktregistrierungsdaten von Samsung-Kunden.

Samsung äußert sich in einer Stellungnahme: „Wir kooperieren mit den Strafverfolgungsbehörden und haben ein führendes IT-Sicherheitsunternehmen beauftragt. Es wurden Maßnahmen ergriffen für den Schutz unserer Systeme.“

Des Weiteren wird empfohlen: „Seien Sie vorsichtig bei unaufgeforderten Mitteilungen, in denen Sie um Ihre persönlichen Daten gebeten werden oder die Sie auf eine Webseite verweisen, auf der nach persönlichen Daten gefragt wird. Vermeiden Sie es, auf Links zu klicken oder Anhänge von verdächtigen E-Mails herunterzuladen Überprüfen Sie Ihre Konten auf verdächtige Aktivitäten.“

Dies ist die zweite Datenpanne, die Samsung seit Anfang des Jahres bestätigt hat. Im März gab der Konzern bekannt, dass die Datenerpressergruppe Lapsus$ in sein Netzwerk eingedrungen ist und vertrauliche Informationen gestohlen hat, darunter den Quellcode von Galaxy-Geräten.

Die Angreifer konnten 190 GB an Archiven erbeuten, die angeblich Dokumente aus dem Diebstahl von Samsungs Servern enthielten.

Trotz Zero-Day-Lücke - Cisco Small Business Router bekommen keinen Patch mehr

Cisco möchte keinen Patch, für einen neuen Authentifizierungs-Bypass-Fehler in den VPN-Routern für kleine Unternehmen, bereitstellen. Betroffen sind von der Zero-Day* Schwachstelle die Cisco Small Business Router RV110W, RV130, RV130W und RV215W laut der Information auf der Unternehmenswebseite. [5]

Die Schwachstelle könnte es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, die Authentifizierungskontrollen zu umgehen, dadurch wäre es möglich Zugriff auf das VPN-Netzwerk zu erlangen.

Es wird darauf hingewiesen, dass diese Produkte ihr End-of-Life erreicht haben, infolgedessen wurde kein Software-Update zur Behebung bereitgestellt. Kunden sollen auf Cisco Small Business RV132W-, RV160- oder RV160W-Router umsteigen.

* Eine Zero-Day-Lücke ist eine bekannte Schwachstelle in Software und Hardware, für die kein Patch zur Verfügung steht.


Hacker-Gruppen und Kampagnen

Cyberkriminelle stehlen Kundendaten der KeyBank

Durch eine Sicherheitslücke des Drittanbieters Overby-Seawell, der Dienstleistungen für zahlreiche Firmenkunden erbringt, erlangten Hacker persönliche Informationen von Hypothekenkredit Inhabern bei der KeyBank, einschließlich Sozialversicherungsnummern, Adressen und Kontonummern, wie die Bank mitteilt. [6]

Laut einer Erklärung, die die KeyBank mit Sitz in Cleveland den betroffenen Hypothekenkunden zukommen ließ, gelangten die Hacker am 5. Juli in den Besitz der Daten, nachdem sie sich in die Server des Dienstleisters Overby-Seawell gehackt hatten, welcher für die Bank Sachversicherungsprüfungen durchführt.

Auf seiner Website führt Overby-Seawell Banken, Kreditgenossenschaften, Hypothekenverwalter, Finanzierungsunternehmen und Immobilieninvestoren als Kunden auf. Eines der angebotenen Produkte ist ein Tracking-System, das mit anderen Softwareplattformen des Finanzsektors gekoppelt ist und die Überwachung von Versicherungen in Echtzeit ermöglicht.

BlackCat Ransomware-Gruppe steht in Verbindung mit Hack des italienischen Energiedienstleisters

Laut Reuters wurde das staatliche italienische Energiedienstleistungsunternehmen GSE vor kurzem von der kriminellen Gruppe BlackCat angegriffen, die eine beträchtliche Menge an Daten stahl und damit drohte, sie zu veröffentlichen, wenn ihre Forderungen nicht erfüllt würden. [7]

BlackCat ist dafür bekannt, dass sie zahlreiche Unternehmen in den USA und Europa auf raffinierte Weise angreift. Die Gruppe behauptete am Freitag, 700 GB an Daten von GSE erlangt zu haben, darunter Details zu Projekten, Verträgen und Buchhaltung, und veröffentlichte Bilder der gestohlenen Dokumente.

Die italienischen Strafverfolgungs- und Cybersicherheitsbehörden untersuchen noch immer den Angriff und ob Daten während des Vorfalls kompromittiert wurden, so GSE gegenüber Bloomberg.

Der Ransomware* Erpresser BlackCat gab an, vor der Ankündigung von GSE einen neuen Artikel auf ihrer Dark-Web-Seite für Datenlecks veröffentlicht zu haben, in dem sie behauptet, rund 700 GB an Material aus den Systemen der italienischen Energieunternehmen gestohlen zu haben.

Die Diebe behaupten, dass die gestohlenen Dateien, zu denen Verträge, Berichte, Projektinformationen, Buchhaltungsunterlagen und andere interne Dokumente gehören, vertrauliche Daten enthalten.

* Ransomware ist Erpressungssoftware, welche u.a. Daten verschlüsselt und den Schlüssel nur gegen Lösegeld herausgibt.

„Killnet“ bekennt sich zu Cyberattacke auf Japans Regierungsseiten

Mehrere Regierungsseiten Japans wurden durch DDoS-Attacken* lahmgelegt und waren nicht mehr erreichbar. Etwa zeitgleich zum Ausfall, beanspruchte die russische Hacker-Grupper „Killnet“ den Angriff für sich, mit einer Nachricht auf ihrem Telegram-Kanal. [8]

Die meisten Dienste seien jedoch bereits wieder hergestellt. Nur der Zugang zum e-Gov (Verwaltungsportal für Bürger) mache noch Probleme, twitterte die japanische Digitalagentur.

Das „Nationale Zentrum für Notfallbereitschaft und Strategie für Cybersicherheit“ (NISC) hat eine umfassende Untersuchung eingeleitet laut dem japanischen Kabinettschef Hirokazu Matsuno. Es soll geklärt werden ob die Gruppe „Killnet“ tatsächlich hinter dem Angriff steckt, der Ansicht von Sergey Shykevich (Threat Intelligence Group Manager bei Check Point Software) nach, ist es jedoch sehr wahrscheinlich.

* DDoS (Distributed Denial of Service) ist eine, durch eine Vielzahl von gezielten Anfragen verursachte, mutwillige Dienstblockade.


Wirtschaft, Politik und Kultur

Haushälter des israelischen Verteidigungsministers wegen Spionage verurteilt

Omri Goren Gorochovsky, der Haushälter des israelischen Verteidigungsministers Benny Gantz wurde wegen des Versuchs, Informationen an einen Feind weiterzugeben zu 3 Jahren Haft verurteilt. [9]

Der 37-Jährige wollte im Auftrag der iranischen Hackergruppe „Black Shadow“ eine Spionagesoftware auf dem Heimcomputer des Ministers installieren. Der vorbestrafte Haushälter bot seine Dienste mit falscher Identität, in einer Gruppe im Messenger Dienst Telegram, auf eigene Initiative an.

Der israelische Inlandsgeheimdienst „Schin Bet“ konnte die Entwendung von geheimen Informationen durch die Aufdeckung verhindern.

Ukraine schaltet zwei weitere russische Bot-Farmen aus

Berichten zufolge haben die ukrainischen Strafverfolgungsbehörden eine von russischen Spezialkräften genutzte Bot-Farm* zerschlagen. [10]

Die Bot-Farm wurde über soziale Medien genutzt, um falsche Informationen und Propaganda im Land zu verbreiten. Nach Angaben des ukrainischen Geheimdienstes (SSU) erzeugte die Bot-Farm Inhalte, die das Land polarisierten. Der Großteil dieses Materials soll sich mit der politischen und militärischen Führung befassen. Als sie abgeschaltet wurde, hatte die Bot-Farm 400.000 Zuschauer.

Der Bot verbreitete unter anderem falsche Informationen über die Lage an der ukrainisch-russischen Grenze und einen Machtkampf zwischen dem Präsidenten und dem militärischen Oberbefehlshaber der Ukraine. Ein selbsternannter Politikexperte aus Kiew, ein russischer Staatsbürger, wurde als Quelle der falschen Informationen identifiziert. Die böswilligen Täter arbeiteten als Team und nutzten 200 Proxyserver**, um IP-Adressen zu fälschen, sowie Tausende von SIM-Karten, um neue Konten zu erstellen.

* Bot Farmen sind Ansammlungen an meist gehackten Geräten, die mit Hilfe von Programmen gesteuert werden. Es sitzen keine echten Menschen dahinter, sondern ein Software „Bot“ (Roboter) der vorprogrammierte Aktionen durchführt ** Proxy-Server dient als Stellvertreter für Anfragen eines Clients, bzw. für Anfragen an einen Webserver und leitet diese weiter. In dem Fall werden die Proxy-Server zum Verschleiern der IP-Adresse genutzt, damit unklar ist, woher die Anfragen ursprünglich kommen.

Cyberangriffe auf die Ukraine finanziell motiviert

Google's Threat Analysis Group beobachtet eine Zunahme von finanziell motivierten Angriffen, mit der Ukraine als Ziel. Frühere Mitglieder der Conti-Cybercrime-Gruppe waren dem Bericht zufolge, in fünf unterschiedliche Kampagnen verwickelt. [11]

Der „UAC-0098“ Angreifer war für die Verbreitung der IcedID-Bankentrojaner verantwortlich. Der Trojaner wurde genutzt, um Ransomware-Angriffe auszuführen. Der Schwerpunkt der Angriffe wurde mit der Zeit auf die ukrainische Regierung, ukrainische Unternehmen und humanitäre Institutionen gelegt.

Die Sicherheitsforscher von TAG gehen davon aus, dass „UAC-0098“ am Anfang als Vermittler von diversen Ransomware-Gruppen agierte, einschließlich der russischen Cybercrime-Bande Quantum und Conti (auch bekannt als FIN12 / WIZARD SPIDER).


Das war's für diese Woche. Wir melden uns nächsten Freitag mit weiteren Nachrichten zurück.