Die Infosec-News der Woche

Freitag 7. Oktober – Freitag 14. Oktober

Passwörter hacken mit Wärmebildkamera und KI, Zero-Day-Schwachstelle in Zimbra-Groupware aktiv ausgenutzt, neue chinesische Cyberspionage-Gruppe, trickreiches Täuschungsmanöver der APT-Gruppe „Mustang Panda“, australische Geheimdienstmitarbeiter geleakt und Student wegen Cyberstalking verurteilt – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Passwörter hacken mit KI und Wärmebildkamera

Forscher stellen ihre Untersuchungsergebnisse über thermische Angriffe, in Verbindung mit künstlicher Intelligenz vor.

Die Sicherheitsexperten, haben ein System namens „Thermosecure“ entwickelt, womit Passwörter anhand einer Wärmebildkamera und maschinellem Lernen, gehackt werden können. Die thermischen Angriffe zielen auf die Eingabe von Passwörtern und PIN-Nummern auf Computern, Smartphones und auch Geldautomaten ab. Durch die verbleibende Restwärme der Finger auf dem Bildschirm oder der Tastatur, können Angreifer anhand dieser Technik den Suchraum und die Reihenfolge des zu knackenden Passwortes erheblich einschränken.

Wenn die Bilder einer kürzlich verwendeten Tastatur innerhalb von 20 Sekunden aufgenommen werden, kann das KI-Modell der Forscher, das Passwort mit einer Genauigkeit von 86 % erraten. Auch nach 60 Sekunden der Eingabe ist noch genug Restwärme vorhanden, um eine Genauigkeit von 62 % zu erzielen. Um die Risiken eines thermischen Angriffs zu verringern können andere Authentifizierungsmethoden wie Fingerabdruck und Gesichtserkennung verwendet werden.

Aktiv ausgenutzte Schwachstelle in Zimbra Collaboration Suite

Durch die kritische Zero-Day-Schwachstelle CVE-2022-41352 können Angreifer willkürliche Dateien über das E-Mail-Sicherheitssystem „Amavis“ hochladen. Bei erfolgreicher Ausnutzung ist es möglich, das Zimbra-Webroot zu überschreiben, Shellcode zu implementieren und auf Konten weiterer Anwender zugreifen.

Wenn Amavis eine Datei auf Viren prüft, wird das Dateiarchivierungsprogramm „cpio“ zum Extrahieren von Archiven genutzt. Die cpio-Komponente beinhaltet eine Schwachstelle, die auch die Ursache für die Angreifbarkeit ist. Kriminelle haben die Möglichkeit, Archive zu erstellen, die auf einem beliebigen, für Zimbra zugänglichen Dateisystem extrahiert werden können.

Bei dem Prüfvorgang auf Viren, wird eine E-Mail an einen Zimbra-Server geschickt und dort extrahiert das Amavis Sicherheitssystem dann das Archiv. Im Fall eines speziell präparierten .cpio-, .tar- oder .rpm-Archiv, kann der Inhalt in die Zimbra-Webroot entpackt werden. Durch diesen Vorgang ist es einem Angreifer möglich, Web-Shells im Zimbra-Stammverzeichnis einzurichten, um Shell-Zugriff auf dem Server zu erlangen.

Zimbra reagierte mit der Veröffentlichung eines Sicherheitshinweises am 14. September. Barry de Graaff, Mitarbeiter von Zimbra, schreibt, dass alle Zimbra-Admins sicherstellen sollen, dass das pax-Paket auf ihren Zimbra-Servern installiert ist. Wenn das pax-Paket nicht installiert ist, greift Amavis auf die Verwendung von cpio zurück. Durch den schlecht implementierten Rückgriff von Amavis, ist es einem nicht authentifiziertem Angreifer möglich, Dateien auf dem Zimbra-Server zu erstellen und zu überschreiben, einschließlich des Zimbra-Webroots.

Hacker-Gruppen und Kampagnen

IT-Dienstleister und Telefongesellschaften im Visier einer neuen Cyberspionage-Gruppe

Sicherheitsforscher entdecken eine neue chinesische APT-Gruppe namens WIP19, sie zielt auf IT-Dienstleister und Telekommunikationsgesellschaften im Nahen Osten und Asien ab.

Durch die Nutzung eines gestohlenen digitalen Zertifikats, der koreanischen Firma DEEPSoft, tarnen die Angreifer bösartige Artefakte während der Infektionskette, um unentdeckt zu bleiben. Die Kriminellen führten nahezu alle Operationen, während einer interaktiven Sitzung, mit infizierten Rechnern, mittels Tastatur aus.

Das Angreiferkollektiv nutzt eine Kombination eines speziell abgestimmten Toolsets mit einem Netzwerkscanner, Credential Dumper, einem Keystroke Logger, einem Browser Stealer und einem Screen Recorder (ScreenCap) sowie ein SQLMaggie Implantat.

SQL-Maggie besitzt die Eigenschaft, in Microsoft SQL Server einzudringen, um Zugriff zur Ausführung verschiedener Befehle über SQL-Abfragen zu erhalten. Nach der Analyse der Telemetriedaten, konnte festgestellt werden, dass SQLMaggie auf Servern in 42 Ländern aktiv ist, vornehmlich Deutschland, USA, Iran, Thailand, Russland, China. Taiwan, Vietnam, Südkorea und Indien.

Die Art und Weise der Angriffe weist darauf hin, dass das Interesse im Sammeln von Informationen liegt.

APT-Gruppe Mustang Panda täuscht mit legitimen Anwendungen

Myanmar ist im Visier der APT-Gruppe¹ „Mustang Panda“. Bei einer Untersuchung des BlackBerry Research & Intelligence Team ist eine Kampagne, in der die PlugX-Malware-Familie² genutzt wird, aufgefallen.

Die Experten analysierten die Vorgehensweise der Gruppe, und stellten dabei fest, dass die eingebetteten Konfigurationen, Command-and-Control-Domains (C2) ³ enthielten, die als Nachrichtenagenturen getarnt waren. Mustang Panda alias Bronze President, Red Delta oder HoneyMyte sind sehr produktiv im Bereich Cyberspionage und führen seit 2012 Malware-Kampagnen durch. Ihre Zielgruppen sind sowohl staatliche als auch nicht staatliche Organisationen zahlreicher Länder, darunter diverse Staaten in Südostasien, Europa und ebenfalls die USA. Üblicherweise werden Phishing-E-Mails mit bösartigen Dokumenten genutzt. Die E-Mails werden so konzipiert, dass sie dem Tagesgeschehen im Zielland entsprechen, um erfolgreich zu täuschen.

Nachdem die Angreifer bei ihren Opfern eingedrungen sind, werden Payloads wie PlugX, Cobalt Strike und Poison Ivy eingesetzt. Wobei PlugX von den Cyberkriminellen am häufigsten genutzt wird.

Im Mai dieses Jahres stellte das BlackBerry Team einen ungewöhnlichen Netzverkehr zu der Domain www[.]myanmarnewsonline[.]org fest. Dem ersten Anschein nach, sah die URL wie eine gewöhnliche Webseite mit Nachrichten für Myanmar aus.

In den Dateien, mit denen die Webseite kommunizierte, waren .RAR-Dateien enthalten, welche eine verhältnismäßige geringe Erkennungsrate bei VirusTotal aufwiesen. Die Dateien waren als Dienstprogramme für HP-Drucker gut getarnt und schienen dadurch auf den ersten Blick legitim. Das BlackBerry Team schreibt in ihrer Analyse: „Die RAR-Archive enthielten ein legitimes, signiertes Dienstprogramm von HP sowie einen DLL-Loader und eine DAT-Datei, die ein verschlüsselter PlugX-Payload ist.“

Mustang Panda nutzt in der Regel die Strategie des Side-Loading von bösartigen Dynamic Library Links⁴ in legitimen Anwendungen während der Ausführung. Auf diese Weise wird das PlugX-Implantat in den Speicher eingeschleust. Die Infizierung findet in einer speziellen Reihenfolge statt und nutzt scheinbar legitime Programme, wie kostenlose VPN-Dienste und HP-Anwendungen.

¹ Advanced Persistent Threat (APT)-Gruppen werden als Organisationen klassifiziert, die "Angriffe auf die Informationsressourcen eines Landes von nationaler Sicherheit oder strategischer wirtschaftlicher Bedeutung entweder durch Cyberspionage oder Cybersabotage" durchführen.

² PlugX gehört zu RAT-Malware-Familie (Remote Access Trojan) die als Hintertür genutzt wird, um den Rechner des Opfers vollständig zu kontrollieren. Sobald das Gerät infiziert ist, kann ein Angreifer verschiedene Arten von Befehlen auf dem betroffenen System aus der Ferne ausführen.

³ Angreifer nutzen C2 Domains dazu die Systeme ihrer Opfer zu kontrollieren und Befehle zu erteilen, um Systeme und Netzwerke zu übernehmen oder Daten zu exfiltrieren.

⁴ DLL (Dynamic Link Library) ist eine Bibliothek, die Code und Daten enthält.


Wir schreiben hier wöchentlich Nachrichten über Cybersicherheit und stoßen immer wieder auf neue und noch ausgeklügeltere Taktiken und Techniken. Das uns das Thema IT-Sicherheit am Herzen liegt, merkt man hoffentlich allein schon durch den Content, den wir regelmäßig und kostenlos zur Verfügung stellen. Wir wollen mit diesen Inhalten erreichen, dass es für Verantwortliche und Interessierte im Bereich IT-Sicherheit leichter ist, einen Überblick zu bekommen und zu behalten.

Was wir mit unseren Blogposts und Podcasts natürlich nicht erreichen können, ist euch einen individuellen Überblick über die Sicherheit eurer Mitarbeiter und eurer Infrastruktur zu geben. Dafür gehen wir aber gerne mit euch persönlich ins Gespräch, um zu prüfen, wie wir euch helfen können und was der beste Ansatz für euer Unternehmen ist. Wenn ihr also Fragen habt, ganz am Anfang steht oder euer bereits vorhandenes Sicherheitskonzept einfach mal prüfen wollt, kontaktiert uns einfach über unsere Webseite für ein unverbindliches Gespräch.


Wirtschaft, Politik und Kultur

Australische Geheimdienstmitarbeiter der Polizei durch Datenleck aufgeflogen

Mitarbeiter des Geheimdienstes der australischen Polizei, fliegen wegen eines digitalen Diebstahls von Dokumenten durch Cyberkriminelle auf.

Das Datenleck wurde durch die Hacktivistengruppe „Guacamaya“ verursacht. Sie stahlen der kolumbianischen Regierung mehr als 5 Terabyte geheimer Daten. Die Daten stammen aus einer Operation des Geheimdienstes, mit dem Ziel, die Geschäfte der Drogenkartelle in Australien zu unterbinden. Nicht nur E-Mails, Methoden und Dokumente sind in dem Leak enthalten, sondern auch Aufnahmen von Telefonüberwachungen und Gehaltslisten für kolumbianische Beamte.

Auch andere Strafverfolgungsbehörden könnten betroffen sein, durch die internationale Zusammenarbeit.

Student verurteilt für das Hacken von Snapchat- und E-Mail-Konten

Ein Student in Puerte Rico wurde zu 13 Monaten Gefängnisstrafe verurteilt, weil er die Snapchat- und E-Mail Konten seiner Kommilitoninnen hackte.

Iván Santell-Velázquez (alias Slay3r_r00t), gestand seine Taten und gab zu, mehr als 100 Studentinnen im Visier zu haben. Er war an Spoofing- und Phishing-Methoden beteiligt, um Informationen zu entwenden. Der Cyberstalker erpresste sein Opfer mit sehr persönlichen und intimen Fotos, aus seinen Datendiebstählen.

Insgesamt sind 15 Studentinnen der UPR, Opfer von Santell-Velázquez geworden.

Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.