Die Infosec-News der Woche

Freitag 21. Oktober – Freitag 28. Oktober

Cisco AnyConnect VPN angreifbar, 4 Millionen Kundendaten von Medibank kompromittiert, iOS-Bug macht Siri zum Spion, Phishing Rezept à la LinkedIn, RomCom RAT Angriff auf ukrainisches Militär, Iranische Atomenergiebehörde gehackt und New York Post durch Mitarbeiter “gehackt” – das sind die Infosec News der Woche.



Schwachstellen und Exploits

AnyConnect VPNs angreifbar

Der Tech-Riese Cisco warnt vor zwei aktiv ausgenutzten und eigentlich seit zwei Jahren gepatchten Sicherheitslücken auf ihrer Webseite.

Normalerweise soll die VPN-Software „Cisco AnyConnect Secure Mobility Client“ Remote-Mitarbeitern einen sicheren Zugriff auf das Unternehmensnetzwerk ermöglichen.

Die Schwachstelle mit der Bezeichnung CVE-2020-3153 kann einem angemeldetem Benutzer die Möglichkeit geben, beliebigen Code auf einem angegriffenem Rechner mit System-Rechten auszuführen. Der Angreifer muss für die Ausnutzung eine speziell präparierte IPC-Nachricht an den AnyConnect-Prozess schicken, um dann DLL-Hijacking durchzuführen.

Die zweite Sicherheitslücke führt dazu, dass ein angemeldeter Benutzer, beliebige Dateien mit System-Rechten auf Systemebene kopieren könnte. Diese Schwachstelle erhielt die Bezeichnung CVE-2020-3433.

Beide Schwachstellen erfordern valide Logindaten für das betroffene Windows Gerät und ermöglichen es angemeldeten Benutzern, die eigenen Rechte im System zu erweitern.

4 Millionen Kundendaten von Medibank kompromittiert

Das Gesundheitsunternehmen Medibank aus Australien gibt auf seiner Webseite einen Cyberangriff und den Zugriff auf 4 Millionen Kundendaten bekannt.

Laut Medibank handelt es sich um alle persönlichen Daten von Medibank- und ahm-Kunden, einer Krankenversicherung die zu Medibank gehört, sowie persönliche Daten aller internationalen Studenten und erhebliche Mengen der dazugehörigen Krankenversicherungsansprüche.

Betroffene Kunden werden informiert und sollen Hilfe in großem Ausmaß bekommen.

Das Unternehmen schreibt in seiner Bekanntmachung: „Kunden, die sich aufgrund dieses schweren Verbrechens in einer besonders schwierigen Lage befinden, bekommen finanzielle Unterstützung. Wir bieten kostenlose Identitätsüberwachungsdienste an, für Kunden, deren Hauptausweis kompromittiert wurde. Die Gebühren für die Neuausstellung von Ausweisdokumenten, die durch dieses Verbrechen vollständig kompromittiert wurden, werden rückerstattet.“ Die Ermittlungen der australischen Bundespolizei dauern an.

iOS-Bug macht Siri zum Spion

Der App-Entwickler Guilherme Rambo schreibt in seinem Blog über einen iOS-Bluetooth-Fehler, der das Belauschen möglich macht.

Die Sicherheitslücke erlaubt Apps mit Zugriff auf Bluetooth, Audiodateien der Diktierfunktion der iOS-Tastatur aufzuzeichnen. Bei einem Angriff ist es Kriminellen außerdem möglich, die Nutzergespräche mit Siri mitzuschneiden, während AirPods oder Beats.Headsets benutzt werden. Das alles ist möglich, trotz fehlender App-Berechtigung für das Mikrofon. Auch gab es während des Abhörvorgangs keinen Hinweis darauf, dass das Mikrofon aktiviert ist.

Im Rahmen seiner Untersuchung fand der Entwickler auch raus, dass AirPods und andere Apple- und Beats-Kopfhörer einen Dienst im Code enthalten. Dieser ermöglicht es, allen Apps, die das Gerät benutzen, die gesprochenen Audiodateien ohne vorher erteilte Berechtigung zu lesen.

Betroffen sind iPhone, iPad, Apple TV und auch die Apple Watch. Die Sicherheitslücke hat der Entdecker gemeldet. Die behobene Schwachstelle bekam die CVE-2022-32946 und der Entdecker 7000,- $ als Belohnung.


Hacker-Gruppen und Kampagnen

Phish[ing] Rezept à la LinkedIn

Zutaten:

  • 500 x Postfächer
  • 1 x nationale Reiseorganisation
  • 1 x umgangene E-Mail-Sicherheitmaßnahme

Unter Verwendung von Social Engineering Techniken, Nachahmung vorhandener Geschäftsabläufe, imitieren der Marke und zu guter Letzt einer bösartigen URL, erhält man, et voilà: Eine wunderbare Phishing-Kampagne.

Gut, dass Erfolg der Kampagne von Sicherheitsexperten verhindert wurde.

Die Phishing Kampagne, die hier verbraten wurde, stahl die Identität des bekannten Business Netzwerkes LinkedIn. Im Visier war eine internationale Reiseorganisation. Es sollten alle 500 Mitarbeiter-Zugangsdaten zur Plattform abgegriffen werden, mit dem E-Mail-Betreff: „We noticed some unusual activity“. Der Absender war aber „Linkedin“ und nicht „LinkedIn“. Komisch, dass auch die E-Mail-Adresse nicht zu LinkedIn führte sondern zu einer Domain namens „fleek.co“, Einrichtung der Domain, noch ganz frisch, am 6.März 2022.

Die Benachrichtigung über verdächtige Aktivitäten sollte das Opfer in die Falle locken. Das LinkedIn Logo war ja auch vorhanden, es sah aus als wäre die Mail legitim. Sogar ein angeblicher Anmeldeversuch mit Daten war beschrieben, um die Glaubwürdigkeit zu unterstreichen.

Das Konto soll gesichert werden, allerdings auf der falschen Seite. Denn die sogenannte Landing-Page war gefälscht, die Login Seite war kaum vom Original zu unterscheiden. Der Zugriff der kriminellen Phisher sollte anhand der Login-Seite erfolgen. Hätten die anvisierten Opfer ihre Daten eingegeben, wäre die ausgeklügelte Phishing-Kampagne erfolgreich verlaufen und die Angreifer hätten die Benutzernamen und Passwörter gestohlen.


Die LinkedIn Phishing Kampagne checkt fast alle Boxen eines detaillierten Angriffs gegen Mitarbeiter eines Unternehmens. Weil diese Angriffe im heutigen Arbeitsalltag leider keine Ausnahme sind, sondern in vielen Unternehmen fast schon Tagesordnung gehören, gehen wir auf genau diese und viele weitere Themen in unserer Security Awareness Schulung ein.

Mitarbeiter sollten nicht nur wissen, wie sie Phishing Attacken erkennen und vermeiden, sondern auch, warum Spam Filter und Antivirus Programme keinen kompletten Schutz bieten, und daher aufmerksam sein nachwievor wichtig ist.

Mehr Infos und einen ersten Eindruck zum Kurs gibt es auf learn.lastbreach.com


RomCom RAT Cyberspionage-Angriff auf ukrainisches Militär

RomCom RAT ist ein Remote Access Trojaner mit welchem per Fernzugriff, Kontrolle über infizierte Computer ermöglicht werden soll. Die Angreifer-Gruppe hat es mit dieser Malware auf militärische Einrichtungen in der Ukraine abgesehen. Zuvor ist RomCom-RAT bereits bei Angriffen aus Lebensmittelunternehmen und IT-Unternehmen auf den Philippinen, USA und Brasilien in Erscheinung getreten.

Eben genau diese kriminelle Gruppe versuchte nun das ukrainische Militär mit einer gefälschten Version des Programms „PDF Filler“ zu täuschen. Am 20. Oktober startete die Angreifer-Gruppe eine neue Kampagne mit einer gefakten „pdfFiller“-Webseite, um einen Payload mit der Malware RomCom RAT einzuschleusen.

Die Aufgabe des RATs ist es Systeminformationen zu sammeln zu denen Aufzählung von Festplatten- und Dateiinformationen gehören. Auch Informationen über lokal installierte Anwendungen und Speicherprozesse sollen so herausgefunden werden. Noch eine Besonderheit der Schadsoftware liegt darin, dass sie in der Lage ist Screenshots anzufertigen, um diese mit den vielen anderen gesammelten Daten an die hartkodierten Command-and-Control Server zu schicken.

Mit einem speziellen Befehl können die Cyberkriminellen außerdem die Malware automatisch vom Opfer-System löschen, um keine Spuren zu hinterlassen.


Wirtschaft, Politik und Kultur

Iranische Atomenergiebehörde durch Hacktivisten gehackt

Auf der Seite der iranischen Atomenergiebehörde (AEIO) war eine Mitteilung zu lesen, in der sie bekannt gaben, dass in den E-Mail Server einer ihrer Tochtergesellschaften eingedrungen wurde.

Die Hackergruppe "Black Reward" veröffentlichte die gestohlenen Daten, welche aus täglicher Korrespondenz und technischen Memos bestehen sollen, auf einem Telegram Kanal. Die Angreifer erklärten zudem, es wären in den Daten auch Pässe und Visa von iranisch- und russischstämmigen Personen dabei, die mit der iranischen Behörde kooperieren sollen.

Zweck dieser Aktion war scheinbar Aufmerksamkeit zu erregen in Bezug auf den Tod der jungen Frau Mahsa Amini. Die Hacker unterschrieben mit "Für Frauen, Leben, Freiheit"

New York Post durch Mitarbeiter “gehackt”

In einem Beitrag auf Twitter erklärte die New York Post am 27. Oktober gehackt worden zu sein und dass sie den Vorfall zum derzeitigen Zeitpunkt noch untersuchen.

Mitarbeiter, der auf den sozialen Medien der Boulevardzeitung, sexistische, gewalttätige und rassistische Schlagzeilen gegen Politiker veröffentlichte. Die Beiträge sind in der Zwischenzeit bereits gelöscht worden.

Der ganze Vorfall war dann doch kein Hack, zumindest nicht von außen. Wie in so vielen Fällen, kam die Bedrohung auch in diesem Fall von innen.


Das wars für diese Woche, wir sehen uns nächste Woche wieder mit den Weekly Infosec News.

Abonniere die Weekly News als Newsletter, auf unserem Youtube Channel oder als Podcast.