[datensicherheit.de, 24.06.2020] Palo Alto Networks meldet heute zwei Neuigkeiten rund um Cyberattacken im Cryptojacking-Umfeld. Eine kurze Zusammenfassung der zwei Meldungen:

1. Lucifer – Hybride Malware
   Cybersecurity-Experten von Palo Alto Networks entdeckten eine neue Variante einer hybriden Cryptojacking-Malware, bei der die Schwachstelle CVE-2019-9081 missbraucht wurde. Ein genaue Analyse zeigt, dass die Malware „Lucifer“ DDoS-Angriffe ausführen kann und mit allen Arten von Exploits gegen anfällige Windows-Hosts ausgestattet ist. Die erste Welle der Kampagne wurde am 10. Juni 2020 gestoppt. Der Angreifer setzte seine Kampagne am 11. Juni 2020 fort, verbreitete eine aktualisierte Version der Malware und richtete Chaos an.
   Lucifer ist eine sehr effektive Malware. Sie ist nicht nur in der Lage, XMRig für das Cryptojacking von Monero zu löschen, sondern kann auch den Betrieb und die Selbstverbreitung (C2) steuern, indem mehrere Schwachstellen ausgenutzt und Brute-Forcing für Anmeldeinformationen durchgeführt wird. Darüber hinaus werden EternalBlue-, EternalRomance- und DoublePulsar-Backdoor für anfällige Ziele für Intranet-Infektionen gelöscht und ausgeführt.
2. Cryptojacking mit infizierten Docker-Images
   Zudem veröffentlicht  Palo Alto Networks heute Erkenntnisse zu einem schädlichen Docker Hub-Konto, in dem sechs „infizierte“ Images gehostet wurden, um die Kryptowährung Monero zu generieren.
   Docker Hub ist ein beliebtes Repository für Docker-Benutzer, um frei verfügbare Docker-Anwendungsimages zum Ausführen zu finden. Kriminelle nehmen die zunehmende Akzeptanz zur Kenntnis und verwenden das Tool, um schädliche Docker-Bilder in großem Maßstab für Cryptojacking zu hosten.

   Zu den wichtigsten Ergebnissen gehören:
   

   • Angreifer haben zwischen April und Mai 2020 36.000 USD gestohlen: Eine der von den Angreifern verwendeten Brieftaschen-IDs hat über 525,38 XMR verdient, was ungefähr 36.000 USD entspricht.
   • Mehrere Cryptojacking-Methoden bereitgestellt: Die Angreifer verwendeten zwei verschiedene Methoden, um Monero zu generieren. Bei der ersten Methode senden sie die abgebauten Blöcke mithilfe einer Brieftaschen-ID direkt an den zentralen minexmr-Pool. Bei der zweiten Methode wurde ein Hosting-Service verwendet, um einen eigenen Mining-Pool zu betreiben, der dannzum Sammeln von Mining-Blöcken verwendet wurde.
   • Der Docker-Takedown: Das Docker-Sicherheitsteam konnte die schädlichen Images und das Docker Hub-Konto entfernen, sobald es von Palo Alto Networks benachrichtigt wurde.

Weitere Informationen zum Thema:

Palo Alto Networks
Lucifer: New Cryptojacking and DDoS Hybrid Malware Exploiting High and Critical Vulnerabilities to Infect Windows Devices

Palo Alto Networks
Attackers Cryptojacking Docker Images to Mine for Monero

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

Ein Kommentar von Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

[datensicherheit.de, 30.04.2019] Der Sicherheitsverstoß beim Docker Hub, der 190.000 Nutzer gefährdet und am Wochenende öffentlich wurde, ist nur ein weiterer Angriff auf Software-Sharing-Center wie GitHub. Da diese Zentren von Open-Source-Entwicklern und fast jedem größeren Unternehmen genutzt werden, besteht das Risiko, dass Angreifer Container oder Code ändern, indem sie Backdoor und bösartigen Code einfügen, um Angriffe zu ermöglichen.

Code Signing-Zertifikate sollen die Authentizität des Codes schützen

Code Signing-Zertifikate – eine Art von Maschinenidentität – schützen die Authentizität des Codes: Sie bestimmen, welcher Entwickler den Code produziert hat und dass der Code nicht verändert wurde. Ohne Code-Signatur kann Code geändert oder neuer Code in Entwickler-Hubs eingefügt werden. Es ist wichtig, dass jedes Unternehmen, das Software entwickelt – und jedes Unternehmen von heute wendet sich schnell an Softwareentwickler von Banken bis hin zu Einzelhändlern – Code Signing verwendet, um sich vor Verletzungen am Docker Hub, GitHub und an Software-Repositories zu schützen. Aus diesem Grund ist jede Android-, iOS-, OS X- und Windows-Anwendung jetzt mit einem Code signiert.

Foto: Venafi

Kevin Bocek, VP Security Strategy and Threat Intelligence, Venafi

Ungeschützt können Maschinenidentitäten missbraucht werden

Aber wenn sie ungeschützt bleiben, ist die Codesignatur eine mächtige Waffe. Beim Sicherheitsvorfall von Stuxnet wurden gestohlene Codesignatur-Maschinenidentitäten verwendet, um völlig vertrauenswürdig zu arbeiten. Vor kurzem wurden bei ASUS Code Signing-Zertifikate missbraucht, um vertrauenswürdige Malware zu erstellen. Darüber hinas verfolgt McAfee weit über 20 Millionen Malware mit gestohlenen oder bösartigen Code Signing-Zertifikaten. Während Unternehmen also die Codesignatur zum Schutz vor Verstößen wie beim Docker Hub einsetzen müssen, schützen sie am ehesten auch den Prozess der sicheren Codeauslieferung.

Weitere Informationen zum Thema:

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 08.11.2018
Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet

datensicherheit.de, 19.09.2018
Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt

datensicherheit.de, 09.08.2018
WhatsApp-Sicherheitsvorfall untergräbt das Vertrauen im Internet