Die Weekly Hacker News

09.01.2023 - 13.01.2023

Sicherheitslücke in Sugar CRM wird aktiv ausgenutzt, kritische Sicherheitslücke in Webhosting-Plattform Control Web Panel, schwere Sicherheitslücke in JsonWebToken entdeckt, Lockbit verantwortlich für Angriff auf Royal Mail, Neue APT-Gruppe „Dark Pink“ entdeckt, Europol schließt Callcenter von Crypto-Betrügern und Crypto-Betrugsopfer erhalten 17 Millionen Dollar Entschädigung – das sind die Hacker News der Woche.



Schwachstellen und Exploits

Sicherheitslücke in Sugar CRM wird aktiv ausgenutzt

SugarCRM informiert seine Kunden auf seiner News Seite über eine Sicherheitslücke in ihrer Customer-Relationship-Management Software. Die Schwachstelle mit der Bezeichnung CVE-2023-22952, soll laut einem Bericht von Sicherheitsforschern auch schon aktiv ausgenutzt worden sein.

Betroffen sind die Softwarelösungen Sugar Sell, Serve, Enterprise, Professional und Ultimate. Allerdings soll die Schwachstelle keine Auswirkungen auf Instanzen haben, in denen SugarIdentity aktiviert ist.

Eine erfolgreiche Ausnutzung kann es einem entfernten und authentifiziertem Angreifer ermöglichen, beliebigen Code auf dem System auszuführen, was durch eine unsachgemäße Eingabevalidierung verursacht wird. Die Schwachstelle kann durch Senden einer speziell gestalteten Anfrage mit den E-Mail-Templates ausgenutzt werden.

Sugar CRM empfiehlt seinen Kunden die Patches dringend zu installieren.

Kritische Sicherheitslücke in Webhosting-Plattform Control Web Panel

Eine Sicherheitslücke im Centos Web Panel, könnte es einem Angreifer ermöglichen, beliebige Befehle auf dem System auszuführen, durch das Senden einer speziell präparierten Anfrage. Die Ursache liegt in einem Problem der Komponente /login/index.php .

Die Sicherheitsexperten von GreyNois warnen anhand ihrer veröffentlichten Zahlen, dass die Schwachstelle mit der Bezeichnung CVE-2022-44877 aktiv ausgenutzt wird.

Sicherheitsexperten von Gais Security hatten die Lücke bereits im Juli 2022 entdeckt und gemeldet. Die CWP-Plattform stellte die Version 0.9.8.1147 im Oktober 2022 bereit, um das Problem zu beheben. Alle älteren Versionen sind von der Schwachstelle betroffen und sollen dringend gepatcht werden.

Den Proof of Concept (PoC) hat Numan Türle, ein Sicherheitsingenieur vom türkischen Sicherheitsunternehmen Gais Security, sowohl auf GitHub als auch auf Youtube veröffentlicht.

Schwere Sicherheitslücke in JsonWebToken entdeckt

Forscher fanden eine Sicherheitslücke in der JsonWebToken-Bibliothek, die von mehr als 20.000 Projekten verwendet wird.

In dem Bericht der Sicherheitsexperten heißt es: „Durch Ausnutzung der Schwachstelle CVE-2022-23529 könnte ein Angreifer Remote-Code-Execution (RCE) auf einem Server erreichen, der eine böswillig gestaltete JSON-Web-Token (JWT)-Anfrage verifiziert.“

Anwender die, JsonWebToken 8.5.1 oder eine frühere Version verwenden, sollen ein Update auf JsonWebToken Version 9.0.0 beziehen, die einen Fix für die Schwachstelle beinhaltet.


Hacker-Gruppen und Kampagnen

Lockbit verantwortlich für Angriff auf Royal Mail

Laut Informationen der britischen Tageszeitung „The Telegraph“ ist die russische Ransomware-Bande Lockbit für den Angriff auf die Royal Mail, dem nationalen Postdienst des vereinigten Königreichs, verantwortlich. The Telegraph konnte eine Lösegeldforderung der Cyberkriminellen einsehen, mit den Wortlauten: „"Lockbit Black Ransomware. Ihre Daten sind gestohlen und verschlüsselt".

Die Cyberkriminellen verschlüsselten Software auf den Maschinen, die für den internationalen Postversand gebraucht werden. Die Cyber-Attacke legte den Postdienst für das Ausland lahm.

In einem Service Update schreibt Royal Mail: „Aufgrund eines Cybervorfalls kommt es bei den internationalen Exportdiensten der Royal Mail zu erheblichen Serviceunterbrechungen.“

Sie seien nicht in der Lage, Sendungen nach Übersee zu verschicken. Sie bitten ihre Kunden derzeit auf Exportsendungen zu verzichten, um einen Stau in ihrem Netzwerk zu vermeiden. Die Importdienste würden jedoch zur Verfügung stehen, auch hier kann es aber kleinere Verzögerungen geben.

Die Teams der Royal Mail arbeiten daran die Störung zu beheben, eine Untersuchung ist eingeleitet und sie arbeiten mit externen Spezialisten zusammen. Der Vorfall wurde außerdem den Aufsichtsbehörden und den zuständigen Sicherheitsbehörden gemeldet.

Neue APT-Gruppe „Dark Pink“ entdeckt

Die neue Advanced Persistent Threat – Gruppe “Dark Pink”, wie sie von Sicherheitsexperten der Group-IB benannt worden ist, hat es mit Spear-Phishing-Techniken auf den asiatisch-pazifischen Raum und Europa abgesehen. Das geht aus einem Bericht des Unternehmens Group-IB, mit Hauptsitz in Singapur, hervor.

Dark Pink startete Mitte 2021 mit seinen Aktivitäten, welche bis Mitte 2022 stark anstiegen. Auch chinesische Sicherheitsexperten entdeckten die kriminellen Tätigkeiten der neuen APT-Gruppe, sie bezeichnen die gleichen Angreifer als „Saaiwc-Gruppe“ in ihrer Analyse.

Bisher wurden sieben Angriffe von Dark Pink bestätigt und aufgedeckt. Der Schwerpunkt der Angriffe lag auf Ländern in der Asien-Pazifik-Region (APAC), allerdings haben die Bedrohungsakteure auch ein europäisches Ministerium zum Ziel ihrer Angriffe gemacht.

Zu den Opfern der neuen APT-Gruppe gehören zwei militärische Einrichtungen auf den Philippinen und in Malaysia, Regierungsbehörden in Kambodscha, Indonesien, Bosnien und Herzegowina sowie eine religiöse Organisation in Vietnam. Ein erfolgloser Angriff, betraf eine staatliche europäische Entwicklungsagentur mit Sitz in Vietnam. Die Angreifer nutzen neue Taktiken, Techniken und Verfahren, die man bei Attacken von anderen Gruppen eher selten sah. Dark Pink setzt ein spezielles Toolkit, um geheime Dokumente aus den Netzwerken von Regierungs- und Militärorganisationen zu stehlen. Teile des Toolkits sind Komponente wie TelePowerBot, KamiKakaBot sowie Cucky und Ctealer Information Stealer.

Bemerkenswert ist die Tatsache, dass Dark Pink in der Lage ist, selbst USB-Geräte zu infizieren, die an kompromittierte Computer angeschlossen sind, um sich Zugang zu Messenger-Programmen auf befallenen Computern zu beschaffen.

Laut Hinweisen geben sich die Angreifer als Bewerber auf offene Stellen aus, die sie zuvor gezielt aussuchen. Der Hauptvektor der APT-Gruppe sind, die zielgerichteten Spear-Phishing-E-Mails, getarnt als Bewerbung.


An dieser Stelle möchten wir gerne eine Passage aus der Analyse der Forscher zitieren:

„Die Bedrohungsakteure, die hinter Dark Pink stehen, waren mit Hilfe ihres maßgeschneiderten Toolkits in der Lage, die Verteidigungsanlagen von Regierungs- und Militäreinrichtungen in einer Reihe von Ländern in der APAC- und europäischen Region zu durchbrechen. Die Dark Pink-Kampagne unterstreicht einmal mehr die massiven Gefahren, die Spear-Phishing-Kampagnen für Unternehmen darstellen, da selbst hochentwickelte Bedrohungsakteure diesen Vektor nutzen, um sich Zugang zu Netzwerken zu verschaffen, und wir empfehlen, dass Unternehmen ihre Mitarbeiter weiterhin darin schulen, wie sie diese Art von E-Mails erkennen können.“

In unseren Schulungen erklären wir Deinen Mitarbeitern, wie wichtig ihr Beitrag ist, um den Schutz des Unternehmens zu gewährleisten. Damit sie diesen Beitrag leisten können, bringen wir ihnen das Thema IT-Sicherheit anhand von realen Beispielen, Angriffen und Betrugsfällen näher und zeigen anhand diese Fälle, worauf sie im Arbeitsalltag achten müssen.

Kontaktiere uns direkt und mach einen Termin mit uns aus. Wir stellen dir gerne unsere Lernplattform und unser Schulungskonzept vor.

Du erreichst uns über unsere Webseite oder via kontakt@lastbreach.com.


Wirtschaft, Politik und Kultur

Europol schließt Callcenter von Crypto-Betrügern

Mit Unterstützung von Europol und Eurojust, konnten Strafverfolgungs- und Justizbehörden aus Bulgarien, Zypern, Deutschland und Serbien, gegen organisierte kriminelle Banden vorgehen.

Die kriminellen „Anbieter“ verleiteten deutsche Opfer dazu, über 2 Millionen Euro in fingierte Krypto-Investment-Websites zu investieren. Die Betrüger köderten ihre Opfer mit Hilfe von Anzeigen in sozialen Netzwerken, wo sie vermeintlich außergewöhnliche Investitionsmöglichkeiten in Kryptowährungen anboten. Die Opfer stammen vor allem aus Deutschland, aber auch in anderen Ländern wie der Schweiz, Australien und Kanada gibt es Geschädigte.

Die kriminellen Banden operierten über Callcenter in Bulgarien, Zypern und Serbien, welche im Rahmen des sogenannten Action Days, geschlossen werden konnten.

Bei dem Zugriff der Behörden, wurden 15 Menschen verhaftet, 261 Personen befragt und 22 Orte durchsucht. Beschlagnahmt wurden: 3 Hardware-Wallets mit ca. 1 Million US-Dollar an Kryptowährungen, 50.000 Euro Bargeld, 3 Fahrzeuge, diverse elektronische Geräte, Datensicherungen und Dokumente.

Crypto-Betrugsopfer erhalten 17 Millionen Dollar Entschädigung

Ein Bundesgericht in San Diego entschied, dass circa 800 Opfer aus 40 verschiedenen Ländern, eine Entschädigung in Höhe von 17 Millionen Dollar erhalten sollen.

Die Geschädigten erlitten aufgrund eines Betrugs, einem massiven Kryptowährungs-Investitionssystem, hohe Anlageverluste in BitConnect.

Satish Kumbhani, der Gründer von BitConnect, wurde zusammen mit Glenn Arcaro, dem obersten Promoter, angeklagt. Arcaro gab im Rahmen seines Schuldgeständnisses zu, dass er sich mit anderen verbündet hatte, um das Anlegerinteresse an Kryptowährungen auszunutzen, indem er das Initial Coin Offering von BitConnect und den Austausch digitaler Währungen in betrügerischer Absicht als lukrative Investition anpries.

Arcaro und seine Komplizen täuschten die Investoren über das "Lending Program" von BitConnect. In diesem Programm warb Arcaro für die vermeintlich firmeneigene Technologie von BitConnect, die als "BitConnect Trading Bot" und "Volatilitätssoftware" bezeichnet wurde. Sie soll erhebliche und garantierte Gewinne generieren, wenn das Geld der Anleger für den Handel mit der Unbeständigkeit der Kryptowährungsbörsen verwendet wird.

In Wirklichkeit betrieb BitConnect jedoch ein Schneeballsystem, indem frühere BitConnect-Investoren mit dem Geld späterer Investoren bezahlt wurden.


Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für's lesen und bis zum nächsten Mal - stay safe!