Die Infosec-News der Woche

Freitag 11.November – Freitag 18. November

Passwortsicherheit von Twitter-Alternative „Mastodon“ gefährdet, Schwachstellen in F5 BIG-IP und BIG-IQ Geräten gefunden, Hauptverdächtiger des Zeus-Botnetzes in Genf festgenommen, Lazarus-Gruppe greift Europa und Lateinamerika an, Chinesischer Geheimdienstmitarbeiter wegen Spionage zu 20 Jahren Haft verurteilt und Warnung an WM-Fans wegen Apps aus Katar – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Passwortsicherheit von Twitter-Alternative „Mastodon“ gefährdet

Der Forscher Gareth Heyes beschreibt in seinem Blogbeitrag eine neu entdeckte Sicherheitslücke, die eine Gefahr für die Passwort-Sicherheit der Mastodon-Nutzer darstellte. Der mittlerweile gepatchte Fehler in der Mastodon Abspaltung Glitch, könnte für Passwort-Diebstahl gesorgt haben.

Bei der Schwachstelle handelt es sich um HTML-Injection ohne Umgehung der Content Security Policy.

Heyes versteckte bei seinem Test, ein schadhaftes Element in der Symbolleiste von Chrome. Wenn ein Anwender es nun anklickte und die automatische Ausfüllfunktion zum Einsatz kam, konnten die gespeicherten Anmeldedaten an den Angreifer-Server geschickt werden.

Der entwickelte Patch kann im Glitch-Repository abgerufen werden.

Schwachstellen in F5 BIG-IP und BIG-IQ Geräten gefährden Firmennetzwerke

Sicherheitsforscher von Rapid7 haben zwei neue Schwachstellen in den BIG-IP und BIG-IQ Geräten des Herstellers F5 Networks entdeckt.

Die Sicherheitslücke mit der Bezeichnung CVE-2022-41622 ist laut den Forschern am schwerwiegendsten, weil ein Angreifer durch die Lücke einen dauerhaften Root-Zugriff auf die Verwaltungsschnittstelle des Geräts erlangen könnte. Dafür muss die Schnittstelle nicht einmal auf das Internet ausgerichtet sein. Allerdings müsste ein Administrator, für diesen Angriff, in einer aktiven Sitzung eine bösartige Webseite besuchen und der Angreifer muss darüber hinaus, Kenntnisse über das Zielnetzwerk haben.

Die zweite Lücke mit der Kennung CVE-2022-41800 könnte dazu führen, dass ein Eindringling mit Admin-Rechten die Gelegenheit erhält, willkürliche Shell-Befehle über RPM-Spezifikationsdateien auszuführen. Laut den Experten sind die meisten anderen Schwachstellen die gefunden worden sind, relativ unbedeutend und setzen voraus, dass der Angreifer ein gewisses Maß an Zugriff auf das Zielgerät hat. Sie halten es für wahrscheinlicher, dass die Lücken als Teil einer Exploit-Kette ausgenutzt werden, um noch schwerwiegenderen Schaden anzurichten.


Hacker-Gruppen und Kampagnen

Hauptverdächtiger des Zeus-Botnetzes in Genf festgenommen

Der Hauptverdächtige des Zeus-Botnetzes Wjatscheslaw Penchukow alias „Tank“, wurde laut Brian Krebs (amerikanischer Journalist und investigativer Reporter) verhaftet, wie er aus mehreren Quellen erfuhr. Kurz nach seinem Bericht, bestätigte das Schweizer Bundesamts für Justiz (BJ), dass die Verhaftung tatsächlich am 23.Oktober in Genf erfolgte. In der Stellungnahme heißt es auch: „Die US-Behörden beschuldigen die verfolgte Person unter anderem der Erpressung, des Bankbetrugs und des Identitätsdiebstahls"

Der 40-Jährige mit dem Decknamen „Tank“ wurde bereits im Jahr 2014 in den USA angeklagt als einer der führenden Hauptakteure der JabberZeus-Crew. Sie griffen mit einer angepassten Version des Zeus-Bankentrojaners ihre Opfer an.

Jedes Mal, wenn ein neues Opfer, auf einer der imitierten Bank Phishing-Seiten, ein Einmalmalpasswort eingab, verschickte die Malware immer sofort eine Jabber-Sofortnachricht an die Angreifer. Sie hatten es insbesondere auf kleine und mittlere Unternehmen abgesehen und stahlen einige Millionen Dollar in Europa und den USA. Die kriminelle Gruppe gilt als Wegbereiter für „Man-in-the-Browser“ Attacken. Mit dieser damals neuen Angriffsmethode wurden durch Malware, heimlich Daten entwendet, die von den Geschädigten über webbasierte Formulare eingetippt wurden.

Lazarus-Gruppe greift Europa und Lateinamerika an

Im Rahmen eines Crimeware-Berichtsdienstes von Kaspersky wurden die neuesten Aktivitäten der Backdoor DTrack veröffentlicht, die von der cyberkriminellen Gruppe Lazarus verwendet wird und erstmals 2019 entdeckt wurde.

Die Angreifer können anhand der DTrack Backdoor beispielsweise Dateien auf dem Ziel-Host hoch- und runterladen, sie können ebenfalls Dateien starten oder auch löschen. Standardmäßig ist in dem Toolset von DTrack, ein Keylogger, ein Screenshot-Programm und auch ein Modul zum Ausspähen von Systeminformationen der Opfer enthalten. Auf diese Weise kann Lazarus in Infrastrukturen eindringen, um Informationen für die weitere Kompromittierung zu sammeln. Die Malware versteckt sich in einer ausführbaren Datei, die in einer scheinbar legitimen Anwendung getarnt wird.

Eine automatisierte Messung hat Aktivitäten von DTrack in Deutschland, Italien, der Schweiz, der Türkei, Brasilien, Mexiko, Indien, Saudi-Arabien und den Vereinigten Staaten nachgewiesen, was darauf schließen lässt, dass sich DTrack in noch mehr Teilen der Welt verbreitet. Angriffsziele sind politische Institutionen, staatliche Forschungseinrichtungen, Versorgungsunternehmen, das Bildungssystem, die chemische Industrie, die Telekommunikationsbranche und IT-Dienstleister.

Bei der Auswertung der Opferstruktur ist klar zu sehen, dass eine Ausdehnung auf Europa und Lateinamerika stattfindet.


Auch in Deutschland häufen sich Berichte über Cyberangriffe durch Kriminelle. Einige der letzten Ziele waren unter anderem die Metro-Gruppe, die mit Ausfällen und Störungen der Systeme zu kämpfen hatte und auch Continental, über die wir ebenfalls berichteten.

Dabei fehlt es bei Unternehmen meist nicht an teuren Sicherheitslösungen, sondern den grundlegenden Dingen wie Konzepten und Prozessen rund um IT-Hygiene, Datenverwaltung, Patch Management und regelmäßigen Sicherheitsschulungen.

Wir helfen dir, in deinem Unternehmen den Überblick zu behalten und das Thema Sicherheit gezielt anzugehen, statt teure Lösungen im Serverraum verstauben zu lassen. Mehr Infos findest du auf www.lastbreach.de.


Wirtschaft, Politik und Kultur

Chinesischer Geheimdienstmitarbeiter wegen Spionage zu 20 Jahren Haft verurteilt

Xanjun Xu ist der erste an die Vereinigten Staaten ausgelieferte chinesische Geheimdienstmitarbeiter und wurde nun wegen Spionageaktivitäten von einem US-Bundesgericht zu 20 Jahren Haft verurteilt.

Der staatliche Spion setzte laut Anklage eine Reihe von verschiedenen Techniken und Technologien ein, um an geheime Informationen von Firmen in den USA zu kommen.

Der FBI-Direktor Christopher Wray sagte: "Dieser Fall ist nur das jüngste Beispiel für die fortgesetzten Angriffe der chinesischen Regierung auf die wirtschaftliche Sicherheit Amerikas - und damit auch auf unsere nationale Sicherheit"

In den Anklagepunkten ist Verschwörung zur Wirtschaftsspionage, Verschwörung zum Diebstahl von Geschäftsgeheimnissen und versuchter Diebstahl von Geschäftsgeheimnissen enthalten. Laut den Gerichtsdokumenten hatte es Xu auf, führende US-Unternehmen aus dem Bereich der Luftfahrt abgesehen.

Mitarbeiter aus der Luftfahrtindustrie wurden von dem Geheimdienstmitarbeiter Xu, unter dem Vorwand einen Vortrag an einer Universität zu halten, nach China gelockt. Während die US-Luftfahrtmitarbeiter vom chinesischen Ministerium für Staatssicherheit (MSS) zum Essen eingeladen wurden, hackten die Spione die Computer ihrer Opfer in den Hotelzimmern.

Warnung an WM-Fans wegen Apps aus Katar

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) aus Bonn teilte auf seiner Webseite Hinweise für den Umgang mit den Apps Ehteraz und Hayya.

Bei Einreise zur Fußball-Weltmeisterschaft 2022 in Katar ist man verpflichtet die Apps zu installieren. Der BfDi stellte bei einer ersten Analyse fest, dass die Datenverarbeitung beider Apps deutlich weiter gehen als es die Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.

Bei einer der Apps wird erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Diese Art von Erhebungen fallen in Deutschland unter das Fernmeldegeheimnis. Die andere App verhindert aktiv, dass das Gerät in den Standby Modus wechselt. Es ist laut dem BfDI zudem naheliegend, dass die von den Apps verwendeten Daten an einen zentralen Server übermittelt werden.

Es wird sogar angeraten ein Telefon zu verwenden, dass eigens für den Besuch der WM gedacht ist und ohne jegliche persönliche Daten darauf. Nach der Rückkehr sollen auf dem temporär genutzten Telefonaus Sicherheitsgründen sämtliche Daten und die katarischen Apps vollständig gelöscht werden.


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten mal, stay safe!