Nordkoreanische Hacker zielen auf Sicherheitsforscher ab, Chinesische Cyber-Akteure nutzen Zero-Day-Schwachstelle aus, Sicherheitslücken in Citrix NetScaler, Kinsing-Malware nutzt Schwachstelle in Openfire aus, Cyberangriff auf MinIO, Key Group Ransomware und russische Cybercrime-Gruppe enthüllt, XLoader-Malware kehrt in neuer Form zurück, Neue „Chae$ 4“ Malware bedroht Finanz- und Logistikunternehmen,APT34 führt neue Phishing-Angriffswelle durch, Datenleck bei Kroll, Cyberangriff auf MGM Resorts, Ransomware-Angriff auf Save the Children und Europol zerschlägt Qakbot-Malware-Netzwerk
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Nordkoreanische Hacker zielen auf Sicherheitsforscher ab
Google warnt vor einer Cyberkampagne nordkoreanischer Hacker gegen Sicherheitsforscher.
Die Angreifer nutzen Social Media, um Vertrauen aufzubauen, bevor sie bösartige Dateien mit 0-Day-Exploits verschicken.
Der Angriffsprozess beginnt auf Plattformen wie Twitter, von wo aus die Hacker zu verschlüsselten Messaging-Apps wechseln, um ihre Opfer anzugreifen.
Die Sicherheitslücken, die von den Angreifern ausgenutzt werden, ähneln denen aus früheren Angriffen. Google hat bereits eine der Schwachstellen gemeldet, und der Hersteller arbeitet an einem Patch.
Neben den 0-Day-Exploits haben die Angreifer ein Windows-Tool entwickelt, das zum Herunterladen von Debugging-Symbolen dient, aber auch schädlichen Code ausführen kann. Betroffene Nutzer sollten ihre Systeme überprüfen und gegebenenfalls neu installieren.
Google sperrt alle identifizierten Websites und Domänen der Angreifer und informiert betroffene Nutzer. Sicherheitsforscher werden aufgefordert, wachsam zu bleiben.
Chinesische Cyber-Akteure nutzen Zero-Day-Schwachstelle in Barracuda ESG-Appliances aus
In einer aktuellen Bedrohungswarnung informiert das FBI über mutmaßliche Cyber-Akteure aus China, die eine kritische Zero-Day-Schwachstelle (CVE-2023-2868) in den Email Security Gateway (ESG)-Appliances von Barracuda Networks ausnutzen.
Die Schwachstelle, die in den ESG-Versionen 5.1.3.001 bis 9.2.0.006 auftritt, ermöglicht es den Angreifern, mit Administratorrechten Systembefehle auszuführen. Die Angriffe erfolgen über manipulierte E-Mail-Anhänge, hauptsächlich TAR-Dateien, die in die ESG-Appliances eingeschleust werden.
Die Konsequenzen sind schwerwiegend: Die Angreifer erhalten dauerhaften Zugriff, können E-Mails scannen, Anmeldeinformationen abfangen und Daten exfiltrieren. Besonders besorgniserregend ist, dass die Angreifer forensische Techniken nutzen, um ihre Aktivitäten zu verschleiern.
Barracuda hat Patches veröffentlicht, die sich jedoch als unwirksam erwiesen haben. Daher empfiehlt das FBI dringend, betroffene ESG-Appliances zu isolieren und auszutauschen. Unternehmen sollten auch ihre Netzwerke auf Verbindungen zu bekannten Kompromittierungsindikatoren überprüfen.
Citrix NetScaler Sicherheitslücken erhöhen Ransomware-Risiko
Sicherheitsforscher warnen vor kritischen Schwachstellen (CVE-2023-3519, CVE-2023-3466, CVE-2023-3467) in Citrix NetScaler ADC und NetScaler Gateway, die Ransomware-Angriffe erleichtern.
Betroffen sind Versionen 13.1, 13.0 und älter. Die Sicherheitsupdates sollten dringend installiert werden, um Angriffe zu verhindern.
Unternehmen sollten ihre Systeme aktualisieren und Sicherheitsbenachrichtigungen von Citrix abonnieren, um auf dem Laufenden zu bleiben.
Kinsing-Malware nutzt Schwachstelle in Openfire aus
Eine aktuelle Kinsing-Malware-Kampagne hat eine kritische Schwachstelle in der Openfire-Kollaborationssoftware ausgenutzt. Die Schwachstelle, bekannt als CVE-2023-32315, ermöglicht es Angreifern, die Kontrolle über den betroffenen Server zu übernehmen.
Openfire, ein Echtzeit-Kollaborationsserver, der in Unternehmen weit verbreitet ist, wurde von dieser Bedrohung beeinträchtigt. Die Angreifer suchen gezielt nach verwundbaren Openfire-Servern und nutzen die Schwachstelle aus, um einen neuen Admin-Benutzer zu erstellen und schädliche Plugins hochzuladen, darunter die gefährliche Kinsing-Malware.
Die Ausmaße dieser Kampagne sind besorgniserregend. Tausende von Openfire-Servern weltweit sind anfällig, wobei fast 20% der gescannten Server von dieser Sicherheitslücke betroffen sind.
Cyberangriff auf MinIO: Schwere Sicherheitslücken ausgenutzt
Unbekannte Angreifer haben das MinIO-Hochleistungs-Objektspeichersystem in einem Cyberangriff attackiert.
Sicherheitsexperten entdeckten den Vorfall und berichtete, dass die Angreifer hochriskante Schwachstellen, insbesondere CVE-2023-28432 und CVE-2023-28434, ausnutzten.
Die Schwachstellen ermöglichten es den Angreifern, unbefugten Code auszuführen und einen Hinterausgang zu erstellen. Besorgniserregend ist, dass die modifizierte Software als „Evil MinIO“ bekannt ist und bereits im April 2023 auf GitHub veröffentlicht wurde, jedoch keine klaren Verbindungen zu den Angreifern bestehen.
Die Angreifer zeigten technisches Geschick, indem sie Bash-Skripte und Python verwendeten, um den Hinterausgang zu steuern und Schadsoftware von einem entfernten Server herunterzuladen und auszuführen, sowohl auf Windows- als auch auf Linux-Systemen.
Hacker-Gruppen und Kampagnen
Key Group Ransomware und russische Cybercrime-Gruppe enthüllt
Experten von EclecticIQ haben die Key Group Ransomware entschlüsselt und eine russischsprachige, finanziell motivierte Cybercrime-Gruppe identifiziert. Diese Ransomware, erstmals im Januar 2023 entdeckt, verschlüsselte Dateien und forderte Lösegeld.
Die Gruppe, bekannt als KEYGROUP777, zielt auf finanzielle Gewinne ab, indem sie gestohlene Informationen verkauft und Lösegeld erpresst. Die Kommunikation erfolgte über private Telegram-Kanäle, und die Gruppe war im „Dark Store“-Marktplatz aktiv.
Experten fanden Schwachstellen in der Verschlüsselung und entwickelten ein Entschlüsselungstool. Die Ransomware sammelte auch Netzwerkdienstmetadaten und deaktivierte Sicherheitslösungen.
Unternehmen sollten vorbeugende Maßnahmen ergreifen, darunter Deaktivierung von RDP, Software-Einschränkungen und regelmäßige Backups, um sich vor Ransomware-Angriffen zu schützen.
XLoader-Malware kehrt in neuer Form zurück: Tarnung als OfficeNote-App
Die gefährliche XLoader-Malware, die seit 2015 ihr Unwesen treibt, ist in einer neuen und raffinierteren Form aufgetaucht. Diesmal tarnt sie sich als Büroanwendungs-App namens ‚OfficeNote‘. Ursprünglich als Java-Programm verteilt, hat sie nun ihre Taktik geändert und ist in nativem C und Objective C geschrieben, was ihre Reichweite auf macOS-Systemen erheblich erweitert.
Die Malware wird in einer Standard-Apple-Disk-Image-Datei mit dem Namen ‚OfficeNote.dmg‘ gebündelt und ist mit einer gefälschten Apple-Entwicklersignatur versehen. Obwohl diese Signatur inzwischen widerrufen wurde, umgeht XLoader geschickt Apples Malware-Blocker.
XLoader versucht, Informationen aus der Zwischenablage des Benutzers zu stehlen und zielt auf die Browser Chrome und Firefox ab, um Login-Daten zu erfassen. Die Malware verwendet verschiedene Tarnmechanismen, um ihre Entdeckung zu erschweren.
Die Bedrohung durch XLoader bleibt bestehen, insbesondere für macOS-Nutzer in Büroumgebungen. Sicherheitsteams sollten Maßnahmen ergreifen, um sich vor dieser Malware zu schützen.
Neue „Chae$ 4“ Malware bedroht Finanz- und Logistikunternehmen
Eine fortschrittliche Variante der Chaes-Malware namens „Chae$ 4“ wurde kürzlich von Morphisec Threat Labs entdeckt. Diese Malware richtet sich hauptsächlich an Unternehmen in den Bereichen Finanzen und Logistik und wurde erstmals im Januar 2023 gesichtet.
Was Chae$ 4 besonders gefährlich macht, ist seine Neuprogrammierung in Python, was herkömmliche Verteidigungssysteme vor Herausforderungen stellt. Die Malware verfügt über eine verbesserte Kommunikation, eine erweiterte Palette von Modulen und eine gezielte Ausrichtung auf Plattformen wie Mercado Libre, Mercado Pago, WhatsApp Web und Banken wie Itau Bank und Caixa Bank.
Die Chaes-Malware ist keine Neuerscheinung und hat bereits 2020 Lateinamerika ins Visier genommen. Diese neueste Variante, die vierte ihrer Art, wird als „Chae$ 4“ bezeichnet. Sie stellt eine ernsthafte Bedrohung dar, da sie Daten stiehlt und Unternehmen erheblichen Schaden zufügen kann.
APT34 führt neue Phishing-Angriffswelle durch
Die APT34-Gruppe, auch bekannt als OilRig oder Helix Kitten, hat kürzlich eine Phishing-Angriffswelle gestartet.
Dabei tarnten sie sich als Marketingunternehmen namens GGMS und griffen Unternehmensziele an. Die eingesetzte Malware-Variante basiert auf dem SideTwist-Trojaner und nutzt eine spezifische IP-Adresse für die CnC-Kommunikation.
Dies könnte auf einen Testlauf hinweisen, bevor die Hauptangriffe beginnen.
Datenleck bei Kroll nach Cyberangriff auf T-Mobile-Konto eines Mitarbeiters
Kürzlich fiel Kroll Restructuring Administration einem ausgeklügelten „SIM-Swapping“-Angriff zum Opfer.
Ein T-Mobile-Konto eines Kroll-Mitarbeiters wurde ohne Genehmigung auf ein anderes Telefon übertragen. Dadurch erhielten Cyberkriminelle Zugriff auf sensible Informationen von Insolvenzanspruchstellern bei BlockFi, FTX und Genesis.
Kroll arbeitet mit dem FBI zusammen und hat betroffene Personen benachrichtigt.
MGM Resorts nach Cyberangriff
Ein groß angelegter Cyberangriff hat den Hotel- und Unterhaltungsgiganten MGM Resorts tagelang lahmgelegt.
MGM, sah sich gezwungen, Teile seiner internen Netzwerke zu deaktivieren, was zu erheblichen Störungen führte. Geldautomaten, Spielautomaten, digitale Zimmerschlüssel und elektronische Zahlungssysteme funktionierten nicht mehr.
Die Hackergruppe „Scattered Spider“ hat die Verantwortung für den Angriff übernommen.
Die Ermittlungen dauern an, und Behörden raten dringend davon ab, Lösegeld an die Angreifer zu zahlen.
Ransomware-Angriff auf Save the Children – 7 TB Daten gestohlen
Die weltweit agierende Nichtregierungsorganisation Save the Children wurde Opfer eines schwerwiegenden Ransomware-Angriffs.
Die Cyberkriminellen-Gruppe BianLian behauptet, 7 Terabyte an sensiblen Daten gestohlen zu haben, darunter Finanzinformationen und Gesundheitsdaten.
Obwohl die Organisation betont, dass der Vorfall keine operativen Störungen verursacht hat, arbeitet sie intensiv an der Untersuchung des Angriffs.
BianLian, ursprünglich für Doppel-Erpressungsangriffe bekannt, hat sich auf die Erpressung von Gesundheits- und Infrastruktursektoren spezialisiert.
Wirtschaft, Politik und Kultur
Qakbot-Malware-Netzwerk zerschlagen, Millionen beschlagnahmt
Eine internationale Operation unter der Leitung von Europol hat die gefährliche Qakbot-Malware-Infrastruktur zerschlagen und fast 8 Millionen Euro in Kryptowährungen beschlagnahmt. Die Malware, die seit 2007 aktiv war und über 700.000 Computer weltweit infizierte, wurde von einer organisierten Gruppe von Cyberkriminellen betrieben.
Der Qakbot gelangte über Spam-E-Mails auf die Computer der Opfer und erlaubte die Installation von Ransomware und anderer schädlicher Software. Die Operation enthüllte, dass Ransomware-Gruppen den Qakbot genutzt hatten, um Angriffe auf kritische Infrastrukturen und Unternehmen durchzuführen, wobei sie insgesamt fast 54 Millionen Euro erpresst hatten.
Europol und Eurojust haben erfolgreich Informationen ausgetauscht und grenzüberschreitende Zusammenarbeit zwischen den beteiligten Behörden gefördert.
Das war’s für diese Woche. Die Weekly Hacker News gibt es auf unserem Youtube Channel Channel und als reine Audioversion auf rss.com sowie diversen Podcast-Plattformen zum Abonnieren oder als monatliche Zusammenfassung in unserem Newsletter. Danke für’s lesen und bis zum nächsten Mal – stay safe!
