Hacker-Gruppe Magnet Goblin zielt auf öffentlich zugängliche Server und Edge-Geräte

[datensicherheit.de, 12.03.2024] Check Point hat nach eigenen Angaben die Aktivitäten der jüngst entdeckten „Magnet Goblin Group“ untersucht. Dieser finanziell motivierte Bedrohungsakteur nutzt demnach „1st Day“-Schwachstellen – also bekannte, aber noch immer offene Sicherheitslücken – bereits am ersten Tag nach Bekanntmachung aus, um öffentlich zugängliche Server und Edge-Geräte zu infiltrieren. Diese Hacker-Bande ziele auf „Ivanti Connect Secure VPN“, „Magento“, „Qlik Sense“ und womöglich „Apache ActiveMQ“.

Abbildung: Check Point

CPR-Erkenntnisse zu bisherigen Kampagnen der Magnet Goblin Group

Magnet Goblin Group bei Nutzung eines breiten Arsenals an Malware beobachtet

„Check Point Research“ (CPR) habe die Aktivitäten der jüngst entdeckten „Magnet Goblin Group“ untersucht. Dieser finanziell motivierte Bedrohungsakteur nutze „1st-Day“-Schwachstellen, d.h. bekannte, indes aber noch offene Sicherheitslücken bereits am ersten Tag nach Bekanntmachung aus, um öffentlich zugängliche Server und Edge-Geräte zu infiltrieren. CPR, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., habe diese Cyber-Kriminellen bei der Nutzung eines breiten Arsenals von Malware beobachtet.

Wie die meisten Hacker-Gruppen verfolge „Magnet Goblin“ opportunistische Ziele; doch in diesem Fall hätten die Nachforschungen von CPR ergeben, „dass die USA am stärksten im Visier der Gruppe stehen“. Bisher hätten die Täter hauptsächlich Ziele aus den Bereichen der Medizin, Fertigung und Energie angegriffen. Sie setzten dabei ein ausgeklügeltes Set von „Tools“ ein – darunter „NerbianRAT“, ein plattformübergreifender RAT (Remote Access Trojaner) gegen „Windows“ und „Linux“, sowie „WARPWIRE“, ein „Stealer“ für „JavaScript“-Anmeldedaten. Diese vielfältige Malware-Suite ermögliche ein breites Spektrum an Cyber-Angriffen – von Datendiebstahl bis hin zu dauerhaftem Zugriff auf geknackte Netzwerke.

Magnet Goblin nutze frisch bekanntgewordene Schwachstellen umgehend aus

„Magnet Goblin“ nutze frisch bekanntgewordene Schwachstellen umgehend aus und ziele dabei insbesondere auf Plattformen wie „Ivanti Connect Secure VPN“, „Magento“, „Qlik Sense“ und „Apache ActiveMQ“. Das schnelle Manövrieren der Gruppe, um Schwachstellen – teils innerhalb eines Tages nach ihrer Bekanntmachung – zu missbrauchen, bedeutet laut CPR „eine tiefgreifende Bedrohung für digitale Infrastrukturen weltweit“.

Im Mittelpunkt der Strategie von „Magnet Goblin“ stünden vor allem Edge-Geräte und öffentlich zugängliche Dienste. Auf diese Weise gelinge es ihnen, den Patches einen Schritt voraus zu sein und unbefugten Zugriff auf sensible Systeme zu erlangen. Die Malware-Suite von „Magnet Goblin“ sei ebenso vielfältig wie gefährlich. „NerbianRAT“, ein plattformübergreifender Remote-Access-Trojaner (RAT), ermögliche eine umfassende Kontrolle über Systeme, während „MiniNerbian“, eine kleinere „Linux“-Hintertür, einen heimlicheren Weg der Infiltration biete. Darüber hinaus setze diese Gruppe Programme zur Fernüberwachung und Fernverwaltung ein, wie „ScreenConnect“ und „AnyDesk“ – „was was die Abwehr erschwert“.

Magnet Goblin als deutliche Erinnerung an ständiges Wettrüsten zwischen Hackern und IT-Sicherheitskräften

Das Auftauchen von Gruppen wie „Magnet Goblin“ sei eine deutliche Erinnerung an das ständige Wettrüsten zwischen Hackern und IT-Sicherheitskräften. Dies unterstreiche zudem den dringenden Bedarf an robusten Abwehrmaßnahmen. Unternehmen müssten der Patch-Verwaltung die Priorität einräumen, um Schwachstellen umgehend zu beheben, außerdem die Überwachung verbessern, um frühe Anzeichen eines Eindringens zu erkennen, und das Bewusstsein für IT-Sicherheit in ihren Teams fördern.

Verteidigungsstrategien, einschließlich des Einsatzes fortschrittlicher Bedrohungserkennungssysteme und regelmäßiger Audits der Sicherheit, seien unerlässlich, um den neuen Taktiken von Bedrohungsakteuren zu begegnen. „Check- Point-Kunden sind gegen die in dieser Meldung beschriebenen Bedrohungen geschützt.“

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 08.03.2024
Magnet Goblin Targets Publicly Facing Servers Using 1-Day Vulnerabilities

Patrycja Schrenk gibt Tipps und Sicherheitshinweise zu E-Mail-Spam

[datensicherheit.de, 09.01.2024] Der Anteil der Spam-Mails am gesamten E-Mail-Verkehr liegt laut einer aktuellen Stellungnahme der PSW GROUP „weltweit bei rund 45,2 Prozent“. Damit sei jede zweite E-Mail nicht nur eine lästige Erscheinung, sondern auch eine erhebliche Gefahr, weil von ihr betrügerische Absichten – wie Phishing oder die Verbreitung von Malware – ausgehen könnten.

Foto: PSW GROUP

Patrycja Schrenk: Es gibt zahlreiche Merkmale und Faktoren, die darauf hinweisen können, dass eine Nachricht potenziell schädlich ist!

Erfolgsaussicht einer Spam-Aktion basiert auf Quantität

Obwohl das Spam-Volumen seinen Höhepunkt inzwischen überschritten habe, seien Spammer raffinierter geworden, um an personenbezogene Daten heranzukommen. Wie es ihnen gelingt, an die E-Mail Adressen ihrer Opfer zu gelangen, erläutert PSW-Geschäftsführerin Patrycja Schrenk: „Sehr verbreitet ist der Adresshandel, bei dem Spammer die Daten von Adresshändlern kaufen oder mieten. Außerdem greifen Spammer auf das sogenannte Web Scraping zurück, bei dem mithilfe von Programmen Webseiten systematisch nach E-Mail-Adressen durchsucht und diese herausgefiltert werden.“

Der Erfolg der E-Mail-Spam-Aktion basiere dann auf Quantität und so werde dieselbe vorgefertigte Nachricht mittels Spam-Bots an unzählige Empfänger der vorher gesammelten Kontaktliste verschickt – „in der Hoffnung, dass jemand wunschgemäß reagiert“.

Spam als konkrete Bedrohung

Spam sei aber nicht nur potenziell gefährlich, denn Klicks auf zweifelhafte Links könnten zu Pop-ups führen, „Abofallen“ auslösen und Viren sowie Schadsoftware installieren oder nachladen, die beispielsweise sensible Daten ausspionierten. Spam koste Unternehmen auch viel Geld. Denn die unerwünschten E-Mails beeinträchtigten die Servicequalität von Unternehmen, da die Verarbeitung und Entsorgung von Spam Systembandbreite und Arbeitszeit der Mitarbeiter beanspruche.

Der Einsatz von „Traffic Distribution Systems“ ermögliche es den Spammern, ihre Kampagnen effektiv zu gestalten und verschiedene Arten von Spam, Ransomware und Malware an unterschiedlichen Orten zu verteilen. Diese ausgefeilten Verteilungstechnik erhöhe somit das Risiko und die Kosten für Unternehmen und Privatpersonen erheblich, sich gegen diese Angriffe zu schützen. Die Unterscheidung zwischen Spam, d.h. unerwünschter Massen-E-Mail, einerseits und erwünschter Massen-E-Mail andererseits unter Berücksichtigung der verschiedenen Benutzeranforderungen und Risiken sei damit eine Herausforderung für jede IT-Abteilung.

Tipps zum Erkennen von Spam E-Mails:

Kritischer Blick auf die angegebene Absenderadresse empfohlen
„Spam ist eine allgegenwärtige Bedrohung, aber es gibt zahlreiche Merkmale und Faktoren, die darauf hinweisen können, dass eine Nachricht potenziell schädlich ist“, führt Schrenk weiter aus. Die IT-Sicherheitsexpertin rät deshalb, auf die verschiedene Anzeichen zu achten, um sich vor möglichen Gefahren zu schützen: „Spammer verwenden häufig E-Mail-Accounts, die durch Hacks oder auch automatisch von ihnen erstellt wurden. Wenn die Absenderadresse eine private ist und der Absendername ,Amazon’, ,PayPal’ oder auch ein Paket-Lieferdienst ist, steckt meist Spam dahinter.“ Insbesondere beim Phishing nutzten die Täter häufig E-Mail-Adressen, welche zumindest ähnlich den wahren Absendern aussähen. „Falls also eine E-Mail behauptet, von einer Firma zu stammen, hilft ein kritischer Blick auf die angegebene Absenderadresse, ob sie tatsächlich von der genannten Firma stammt“, betont Schrenk.

Spam oft ohne persönliche Ansprache
Ein weiteres Warnsignal sei eine fehlende oder anonyme Ansprache in der Nachricht. Seriöse Unternehmen verwendeten in der Regel personalisierte Anreden, während Spam oft ohne persönliche Ansprache daherkommt. „Doch auch hier ist Vorsicht geboten, da Hacker gestohlene Datenbanken nutzen können, um personalisierte Nachrichten zu verschicken“, warnt Schrenk. Sprachliche Unzulänglichkeiten, wie Grammatik- und Rechtschreibfehler, seien ebenfalls ein Hinweis auf Spam, „insbesondere wenn der Text maschinell generiert und übersetzt wurde“.

Verschleiern der Links durch Link-Shorter
Auch die gesamte Intention der E-Mail sei entscheidend: Wenn der Absender auffordert, auf einen Link zu klicken oder eine Datei im Anhang zu öffnen, bestehe die Gefahr von Phishing oder Malware. „Ein cleverer Trick von Spammern ist das Verschleiern von Links durch sogenannte Link-Shorter. Die Adressen lassen sich aber durch einen ,Mouseover’ überprüfen und so mögliche Betrugsversuche entlarven“, so Schrenk.

Anhänge stets mit Skepsis betrachten
Die Kongruenz zwischen Inhalt und Absender sei ein weiterer kritischer Faktor: Empfehlungen für Apps oder Angebote in den E-Mails sollten zu der Person passen, die sie angeblich sendet. Denn oft kauften Spammer gehackte Konten und verbreiteten ihren Spam an das gesamte Adressbuch oder die Kontakte der Opfer. „Anhänge, insbesondere in Form von Zip-, ,Word’- oder ,Excel’-Dateien, sind stets mit Skepsis zu betrachten. Das Öffnen solcher Dateien kann nämlich Schadsoftware oder Malware enthalten oder nachladen. Ich rate deshalb, nur bei bekannten und vertrauenswürdigen Absendern den E-Mail-Anhang zu öffnen und im Zweifelsfall auch direkt beim vermeintlichen Absender nachfragen, um die Sicherheit zu gewährleisten“, unterstreicht Schrenk.

Ruhe bewahren trotz vermeintlichen Zeitdrucks
Ein weiterer Trick von Spammern sei der Einsatz von Druck: Drohungen von vermeintlichen Anwälten oder Strafverfolgern sollten die Empfänger zu überstürzten Handlungen verleiten. Schrenk macht deutlich: „Angebote oder Handlungsaufforderungen, die unter Zeitdruck stehen, sollten immer mit Vorsicht behandelt werden. Es ist ratsam, Ruhe zu bewahren und die E-Mail sorgfältig zu prüfen. Oft finden sich weitere Anzeichen für Spam, die eine fundierte Entscheidung ermöglichen.“

Spam-Mails mittels -Filter blockieren

Die häufigste Art von Spam sei die mit einem klaren Werbezweck. Diese E-Mails enthielten häufig Links zu Produkten, die beworben werden, „und bergen die Gefahr von Malvertising, insbesondere durch schädliche Dateianhänge“. Um diesem Risiko vorzubeugen, setzten die meisten E-Mail-Anbieter auf spezielle Spam-Filter, um unerwünschte Nachrichten entweder zu blockieren oder direkt in den Spam-Ordner zu verschieben.

„Einige E-Mail-Anbieter filtern Spam auch automatisch heraus. Das erfolgt durch die Verwendung von Absenderlisten, die für den Versand von Spam bekannt sind“, ergänzt Schrenk abschließend. Von solchen automatisch gefilterten E-Mails bekämen Anwender in der Regel nichts mit. Viele E-Mail-Dienste böten zudem die Möglichkeit, eigene Spam-Richtlinien zu erstellen.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 30.11.2023
IT-Security / Spam-Mails erkennen & Spam vermeiden: So einfach geht’s!

datensicherheit.de, 08.08.2019
Spam- und Phishing-Inhalte: Verbreitung über legitime Websites / Cyber-Kriminelle missbrauchen Internet-Präsenzen von Unternehmen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links

[datensicherheit.de, 04.01.2024] McAfee betont in einer Stellungnahme zum Jahresauftakt 2024, dass uns das neue Jahr u.a. die Gelegenheit bietet, „unsere Online-Gewohnheiten unter die Lupe zu nehmen“. Konkret wird in diesem Zusammenhang auf den von McAfee nach eigenen Angaben zu Jahresbeginn entdeckten neuen Malware-Typ namens „Xamalicious“ eingegangen, welcher demnach in 25 „Android“-Apps enthalten ist. Diese Apps seien inzwischen aus dem „Google Playstore“ entfernt worden, aber: „Falls ,Android’-Nutzer sie bereits heruntergeladen haben, empfiehlt McAfee dringend, Maßnahmen zu ergreifen!“ Diese neue Malware sei in ganz Europa – insbesondere in Deutschland, Großbritannien und Spanien – beobachtet worden, aber auch in den USA, in Brasilien und Argentinien.

McAfee benennt betroffene Apps, welche dringend gelöscht werden sollten

„Xamalicious“ nutze ein Open-Source-Framework namens „Xamarin“, um sich auf Geräten zu verstecken. So könne die Malware die volle Kontrolle über das Gerät übernehmen und betrügerische Aktionen wie das Anklicken von Werbung, die Installation von Apps und andere finanziell motivierte Aktionen ohne Zustimmung des Benutzers durchführen. Weitere Einzelheiten hierzu seien im technischen Blog von McAfee zu finden.

Einige der betroffenen Apps, die McAfee dringend zu löschen empfiehlt, sind (ohne Gewähr):

• „Essential Horoscope for Android“
• „3D Skin Editor for PE Minecraft“
• „Logo Maker Pro“
• „Auto Click Repeater“
• „Count Easy Calorie Calculator“
• „Sound Volume Extender“
• „LetterLink“
• „NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS“
• „Step Keeper: Easy Pedometer“
• „Track Your Sleep“
• „Sound Volume Booster“
• „Astrological Navigator: Daily Horoscope & Tarot“
• „Universal Calculator“

McAfee-Tipps zum Schutz eigener Online-Daten und der -Identität:

• Zum Download anstehende Apps sollten vorab „mit einem kritischen Auge“ betrachtet werden – „achten Sie auf schlechte Grammatik in der App-Beschreibung, lesen Sie die Bewertungen und prüfen Sie, ob der Entwickler auch andere Apps veröffentlicht hat, die gut bewertet wurden!“
• Die Nutzung von Apps, welche Zugänglichkeitsdienste erfordern, sollte vermieden werden – „es sei denn, es besteht ein echter Bedarf für die Nutzung“.
• Es sollte sichergestellt werden, dass das eigene mobile Gerät mit umfassenden Sicherheitslösungen geschützt ist, welche Funktionen zur Überwachung und Blockierung potenziell bösartiger Links und Apps enthalten.
• „Durch den Einsatz von ,McAfee Mobile Security’-Produkten können Anwender ihre Geräte noch besser schützen und die mit dieser Art von Malware verbundenen Risiken mindern, was zu einem sichereren Erlebnis führt.“

Weitere Informationen zum Thema:

McAfee, Fernando Ruiz, 22.12.2023
Stealth Backdoor “Android/Xamalicious” Actively Infecting Devices

Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

[datensicherheit.de, 21.06.2023] Auch F-Secure warnt zum Sommerbeginn 2023 und zur bevorstehenden Urlaubszeit vor den häufig unterschätzen Gefahrenquellen wie Gratis-Wi-Fi, öffentlichen Netzwerken und automatischen Log-in Funktionen und rät zum Schutz vor sogenanntem Identitätsdiebstahl. „Auch in den schönsten Wochen des Jahres sind Smartphone und Co. täglich im Einsatz für Nachrichten an die Familie, die Erstellung von Reiseschnappschüssen oder das Online-Banking. Besondere Vorsicht ist dabei in unbekannten Umgebungen geboten, denn Datenverlust, Identitätsdiebstahl und Malware-Infektionen können Folge unvorsichtiger Nutzung öffentlicher Netzwerke sein.“ Aus diesem Grund gelte besonders im Urlaub, die eigenen Daten zu schützen und potenzielle Gefahrenquellen bereits vor Reiseantritt zu kennen.

Abbildung: F-Secure

F-Secure hilft zu prüfen, ob persönlichen Daten von einem bekannt gewordenen Datendiebstahl betroffen sind…

Gefahrenquellen im Urlaub: Gratis-Wi-Fi, automatische Log-in Prozesse und Juice Jacking

Bei Reisenden seien kostenlose Wi-Fi-Zugänge und öffentliche Netzwerke besonders beliebt. Diese könnten jedoch eine große Gefahr darstellen! „In den meisten Fällen verbinden sich Geräte nach dem ersten Mal automatisch mit vermeintlich vertrauten WLAN-Netzwerken. Dabei gleicht das eigene Gerät zur Verifizierung nur den Namen des Wi-Fis ab.“ Der Einsatz „böser“ Wi-Fi-Zwillinge mit demselben Namen ermögliche dann den Diebstahl von Daten wie Cookies. „Da die Sicherheitsmechanismen öffentlicher Netzwerke oft intransparent und unzureichend sind, egal ob im In- oder Ausland, heißt es besondere Vorsicht walten zu lassen und gezielte Maßnahmen zur Vorbeugung zu treffen.“

Ein weiterer Weg für unbefugten Zugriff sei die sogenannte „Remember Me“-Funktion: Log-ins, bei denen man seinen Benutzernamen und Passwort mit nur einem Klick speichern könne, seien zwar komfortabel, aber nicht unbedingt sicher. „Sie erkennen den Nutzer nur anhand seiner Cookies. Einmal gestohlen, können sie genutzt werden, um Log-ins ganz zu umgehen.“ Felix Blank, Sicherheitsexperte bei F-Secure, warnt daher: „Cookies sind die Generalschlüssel der digitalen Welt. Wer in einem Urlaubshotel ungeschützt ein Netzwerk nutzt, lässt diesen Schlüssel quasi am Hotelbüfett offen herumliegen.“

Vorsicht sei auch in Hinblick auf sogenanntes Juice Jacking geboten, bei dem ein Cyber-Angriff über den USB-Anschluss beim Aufladen eines mobilen Gerätes stattfinde: Öffentliche Ladestationen und USB-Anschlüsse in Hotelzimmern könnten mit Schadsoftware „verseucht“ sein und synchronisierte Daten abgreifen.

Lösungen für den Urlaub: VPN, USB-Datenblocker-Adapter und Identitätsdiebstahl-Checker

Um Diebstahl und Missbrauch von Daten bei der Nutzung öffentlicher WLAN-Hotspots entgegenzuwirken, biete sich ein persönliches VPN an: „Eine VPN-Verbindung weist der eigenen Internetverbindung einen sicheren Weg wie durch einen Tunnel. Das eigene Signal wird über verschlüsselte Server weitergeleitet, so dass die Daten für die Betrüger nicht erreichbar sind“, erläutert Blank. Der Verkehr von Daten werde dadurch zuverlässig geschützt – Online-Banking oder Online-Shopping seien dann kein Problem mehr.

Wenn unterwegs einmal der Akku-Stand sinkt und öffentliche Ladestationen genutzt werden, sei es sinnvoll, einen USB-Datenblocker-Adapter zu verwenden, um einen unbeabsichtigten Datentransfer zu verhindern. Unternehmen wie Apple und Google hätten die automatische Synchronisations-Funktion ihrer Geräte bereits deaktiviert. „Man kann aber immer noch einmal sichergehen und einen USB-Datenblocker-Adapter dazwischenschalten“, so Blank.

Mit diesen vorbeugenden Maßnahmen könne auch ein möglicher Identitätsdiebstahl verhindert werden. Hacker nutzten personenbezogene Daten oftmals nicht nur zu ihrem eigenen Vorteil, sondern verkauften sie auch im sogenannten Darknet weiter. Der „F-Secure Identitätsdiebstahl-Checker“ z.B. ermögliche auf einfache Weise eine Überprüfung, ob private Informationen bereits in „Leaks“ auftauchen. Sollte dies der Fall sein, sei eine sofortige Änderung der Passwörter dringend zu empfehlen.

Weitere Informationen zum Thema:

F-Secure
Prüfen Sie, ob Sie von einem Datendiebstahl betroffen sind

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

[datensicherheit.de, 23.05.2023] Forscher des japanischen Security-Anbieters Trend Micro haben nach eigenen Angaben auf der Hacking-Konferenz „Black Hat Asia“ bekanntgegeben, dass weltweit Millionen von „Android“-Smartphones mit bösartiger Firmware infiziert sind – „und das noch bevor die Geräte überhaupt die Produktion verlassen“. Die Hacker-Gruppierung „Lemon Group“ konnte demnach eine Malware namens „Guerilla“ nach eigenen Aussagen in 8,9 Millionen Geräte einschleusen.

Fernzugriffe auf Android-Smartphones zu vermieten

Die Sicherheitsforscher warnen daher davor, dass Cyber-Kriminelle via Proxy-Plugin den Fernzugriff auf „Android“-Smartphones vermieten und sich pro Minute dafür bezahlen lassen könnten. Zugriff gebe es auf Tastatureingaben von Passwörtern, den geographischen Standort, die IP-Adresse und weitere vertrauliche Daten.

„Die Werbung für dieses Geschäftsmodell findet auf ,facebook’, ,YouTube’ sowie Blogs statt und Verkaufsangebote gibt es im Darknet.“ Auch eine Nutzung als „Exit Node“, einem Server, der dem „Tor“-Nutzer den Zugang zum Internet zur Verfügung stelle, sei möglich.

Wachsende Gefahr für Android-Privatanwender sowie Unternehmen

Diese Entwicklung stelle nun eine wachsende Gefahr für Privatanwender und Unternehmen weltweit dar:

• Zwar kontrollierten die großen Smartphone-Anbieter „Google, Samsung & Co.“ ihre Lieferkette besser; in vielen Fällen werde jedoch die Produktion der Geräte an einen Erstausrüster (englisch: Original Equipment Manufacturer / OEM) ausgelagert, so dass ein Glied in der Fertigungskette, z.B. ein Firmware-Lieferant, die Produkte bei der Auslieferung mit bösartigem Code infiziere.
• Auch sogenannte Smart-TVs und „Android“-TV-Boxen könnten davon betroffen sein.
• Das Lieferkettensorgfaltspflichtengesetz (kurz: Lieferkettengesetz) – in Deutschland Anfang 2023 für Unternehmen ab 3.000 Mitarbeiter in Kraft getreten – kontrolliere faire Bedingungen und ökonomische Nachhaltigkeit in der Lieferkette: „Das ist aber nur EIN Baustein, auf den Unternehmen in ihrer ,Supply Chain’ achten sollten.“
• Es sei im Interesse eines jeden Unternehmens, einen genauen Blick auf die Lieferkette zu werfen, denn diese habe auch vielfache Auswirkungen auf die IT-Security und könne unkontrollierbare Eintrittstore schaffen.
• Ein weiteres Beispiel für einen Kontrollverlust in der Lieferkette stelle die Verteilung des kompromittierten VoIP-Clients von 3CX dar. „Auch dieser Vorfall ging auf einen vorausgehenden Lieferketten-Angriff zurück.“

Weitere Informationen zum Thema:

heise online, Dennis Schirrmacher, 16.05.2023
Malware ab Werk: Android-Trojaner vermietet Opfer-Smartphones minutenweise / Sicherheitsforscher warnen davor, dass Kriminelle den Fernzugriff auf Android-Smartphones vermieten – sie rechnen pro Minute ab

[datensicherheit.de, 22.03.2023] „Unit 42“, die Forschungsabteilung von Palo Alto Networks, warnt nach eigenen Angaben vor der „Trigona“-Ransomware – „einem relativ neuen Ransomware-Stamm, den Sicherheitsforscher erstmals Ende Oktober 2022 entdeckten“. So habe die „Unit 42“ festgestellt, „dass ,Trigona’ im Dezember 2022 sehr aktiv war und mindestens 15 potenzielle Opfer kompromittiert hat“. Die betroffenen Unternehmen stammen demnach aus den Bereichen Fertigung, Finanzen, Bauwesen, Landwirtschaft, Marketing und Hochtechnologie. Die Forscher hätten zudem zwei neue „Trigona“-Erpresserbriefe im Januar 2023 identifiziert und zwei im Februar 2023. Eine außergewöhnliche Taktik von „Trigona“ bestehe darin, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden.

BleepingComputer veröffentlichte am 29. November 2022 Blogpost über diese Ransomware

Die erste Erwähnung von „Trigona“ (offenbar benannt nach einer Familie stachelloser Bienen) stamme aus einem Tweet von Sicherheitsforschern Ende Oktober 2022. Malware-Samples seien an „BleepingComputer“ weitergeleitet worden, wo am 29. November 2022 ein Blogpost über diese Ransomware veröffentlicht worden sei. Die Berater und Forscher der „Unit 42“ hätten die Aktivitäten von „Trigona“ im Rahmen der Reaktion auf Vorfälle ebenfalls direkt verfolgt.

Die „Unit 42“ habe beobachtet, wie der Ransomware-Betreiber sich zunächst Zugang zur Umgebung eines Ziels verschafft habe, um Erkundungen durchzuführen. „Anschließend kommt ein RMM-Tool (Remote Access and Management) namens ,Splashtop’ zum Einsatz, um Malware in die Zielumgebung zu übertragen, gefolgt von der Erstellung neuer Benutzerkonten und schließlich dem Einsatz der Ransomware.“

Unit 42 hat Beweise für kriminelle Aktivitäten im Zusammenhang mit Trigona

Bedrohungsforscher der „Unit 42“ vermuten, „dass es sich bei der Surface-Web-Leak-Seite um eine Entwicklungsumgebung handelte, in der Funktionen getestet wurden, bevor eine mögliche Verlagerung ins DarkWeb erfolgte“. Mehrere Beiträge schienen Duplikate der „BlackCat“-Leak-Seite zu sein. Einige der Countdown-Timer seien deutlich länger. Die Leak-Site sei im „Surface Web“ nicht mehr verfügbar.

Die „Unit 42“ habe ebenso Beweise für kriminelle Aktivitäten im Zusammenhang mit „Trigona“ gesehen, welche von einem kompromittierten „Windows 2003“-Server ausgegangen seien, gefolgt von der Ausführung von „NetScan“ zur internen Erkundung. Angreifer missbrauchten oft legitime Produkte für böswillige Zwecke, nutzten sie aus oder unterwanderten sie. „Dies bedeutet nicht zwangsläufig, dass ein Fehler oder eine bösartige Eigenschaft des legitimen Produkts vorliegt, das missbraucht wird.“

Trigona derzeit offenbar noch unter dem Radar aktiv

„Trigona“ scheine derzeit „unter dem Radar“ aktiv zu sein. „Dieser Mangel an Bewusstsein in der Sicherheitscommunity ermöglicht es, die Opfer unauffällig anzugreifen, während andere Ransomware-Operationen mit größerem Bekanntheitsgrad die Schlagzeilen beherrschen.“ Palo Alto Networks hofft, „dass die Aufklärung über ,Trigona’ und seine ungewöhnliche Technik, passwortgeschützte ausführbare Dateien zur Verschleierung von Malware zu verwenden, den Verteidigern hilft, ihre Umgebungen besser vor dieser Bedrohung zu schützen“.

Aufgrund der zahlreichen, von der „Unit 42“ identifizierten Opfer und der sich derzeit entwickelnden Leak-Site von „Trigona“ würden der Betreiber und/oder die Partner hinter der Ransomware ihre kriminellen Aktivitäten wahrscheinlich fortsetzen – „und möglicherweise sogar noch verstärken“.

Weitere Informationen zu Thema:

UNIT 42, Frank Lee & Scott Roland, 16.03.2023
Bee-Ware of Trigona, An Emerging Ransomware Strain

MalwareHunterTeam auf Twitter
Some ransomware gang…

BLEEPING COMPUTER, Lawrence Abrams, 29.11.2022
Trigona ransomware spotted in increasing attacks worldwide

Bedrohungsakteure versprechen uneingeschränkten, kostenlosen Zugang zum Premium-ChatGPT

[datensicherheit.de, 23.02.2023] „ChatGPT“ genießt offensichtlich derzeit eine enorme Popularität – nun soll OpenAI laut einer aktuellen Meldung von Arctic Wolf ein kostenpflichtiges Angebot („ChatGPT Plus“) eingeführt haben, „das es Nutzern ermöglicht, den ,Chatbot’ ohne Verfügbarkeitsbeschränkungen zu verwenden“. Bedrohungsakteure machten sich dies indes zunutze – „und versprechen uneingeschränkten, kostenlosen Zugang zum ,Premium-ChatGPT’“. Tatsächlich seien diese Angebote aber „betrügerisch“: Diese zielten darauf ab, Nutzer zur Installation von Malware oder zur Angabe von Zugangsdaten zu verleiten.

Foto: Arctic Wolf

Ian McShane: Cyber-Kriminelle nutzen Fake-Versionen von ChatGPT, um Malware für Android und Windows zu verbreiten!

Hype um ChatGPT gigantisch – das lockt auch Cyber-Kriminelle an

„Der Hype um ,ChatGPT’ ist gigantisch, und die Online-App erlebt einen rasanten Anstieg der Nutzerzahlen. Da ist es keine große Überraschung, dass auch Hacker diesen Hype für ihre bösartigen Aktionen nutzen“, kommentiert Ian McShane, „Vice President of Strategy“ bei Arctic Wolf, die gegenwärtige Situation.

Wie schon bei dem Hype-Phänomen „Pokémon Go“ nutzten Cyber-Kriminelle nun auch Fake-Versionen von „ChatGPT“, um Malware für „Android“ und „Windows“ zu verbreiten. Daher sollten Verbraucher sehr vorsichtig sein und jedes Angebot meiden, das zu gut klingt, um wahr zu sein.

„,ChatGPT’ ist ein reines Online-Tool und nur unter, chat.openai.com’ verfügbar“, betont McShane. Derzeit gebe es keine mobilen oder Desktop-Apps für irgendein Betriebssystem. Er stellt klar: „Apps oder Websites, die sich als ,ChatGPT’ ausgeben und versuchen, Nutzer zum Herunterladen von Apps zu verleiten, sind Fakes.“ Diese zielten darauf ab, Geräte und Systeme mit Malware zu infizieren und sollten daher dringend gemieden werden.

ChatGPT ändert nichts an Grundlagen der Cyber-Sicherheit – Cyber-Hygiene in Unternehmen gefragt

Ihn überrascht es nicht, „dass Kriminelle nicht nur den Hype für sich nutzen, sondern auch das Tool selbst, um bösartige Codes zu schreiben“. Es sei ein weiteres Werkzeug, welches die Einstiegshürde für potenziell bösartige Aktivitäten senke. Er führt aus: „In der Vergangenheit erforderte die Erstellung einer sich ständig verändernden Malware ein hohes Maß an Programmierkenntnissen. Jetzt kann fast jeder, der ein Grundverständnis für gegnerische TTPs hat, ,ChatGPT’ in eine potenzielle Waffe verwandeln.“

„ChatGPT“ ändere jedoch nichts an den Grundlagen der Cyber-Sicherheit – und die beste Möglichkeit für Unternehmen, sich gegen diese (und andere) neue Bedrohungen zu schützen, bestehe darin, weiterhin eine gute „Cyber-Hygiene“ zu praktizieren. Sie sollten mit externen Experten zusammenarbeiten, um ihre Cyber-Sicherheit zu verbessern, regelmäßige Systemprüfungen durchführen, neue Technologien einsetzen und ihre Mitarbeiter weiterbilden, „damit sie diese richtig nutzen können“.

Außerdem sollte nicht vergessen werden, dass es in der Welt der Cybersecurity auch positive Anwendungen für „ChatGPT“ gibt. McShane erläutert: „So könnte es beispielsweise zur Automatisierung der Analyse von Protokolldateien oder zur Erstellung von Berichten verwendet werden. Sicherheitsteams können ,ChatGPT’ auch nutzen, um Phishing-E-Mails oder Social-Media-Nachrichten zu generieren, um ihre Verteidigungsmaßnahmen zu testen.“ Zum Abschluss unterstreicht McShane, dass all dies zur Verbesserung der Effektivität der Cyber-Sicherheit in Unternehmen beitrage.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen

datensicherheit.de, 09.02.2023
ChatGPT: Gefahren und Grenzen der KI / Verteidiger müssen auf dem Stand der Technik und des Wissens sein

datensicherheit.de, 08.02.2023
Zum SAFER INTERNET DAY 2023: LfDI Rheinland-Pfalz nimmt Stellung zu KI und ChatGPT / ChatGPT nur ein Beispiel, wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden

datensicherheit.de, 17.02.2023
Betrug mittels KI: Chatbots und Text-to-Speech bergen neben Vorteilen auch potenzielle Gefahren / Auf dem Gebiet der KI hat sich in den letzten Monaten viel getan – so sorgt derzeit vor allem ChatGPT für Aufsehen

[datensicherheit.de, 22.02.2023] Kaspersky-Experten haben nach eigenen Angaben eine laufende Malware-Kampagne entdeckt, welche sich den Hype rund um den KI-Chatbot „ChatGPT“ zunutze macht: „Derzeit verbreiten Cyber-Kriminelle den Trojaner ‚Fobo‘, indem sie Gruppen in ,facebook’ erstellen, die den offiziellen ,OpenAI’-Konten zum Verwechseln ähnlich sehen, oder sich als Communities von ,ChatGPT’-Begeisterten ausgeben.“ Diese betrügerischen Gruppen hosteten scheinbar offizielle Beiträge mit Neuigkeiten über den Dienst – „und werben für ein Programm, das sich als Desktop-Client für ,ChatGPT’ ausgibt“.

Stealer-Trojaner Trojan-PSW.Win64.Fobo: Malware-Installation, ohne dass das Opfer etwas davon bemerkt

„Sobald die Nutzer auf den Link eines Beitrags klicken, werden sie auf eine gut gefälschte Webseite geleitet, die fast genauso aussieht wie die offizielle ,ChatGPT’-Webseite.“ Diese fordere den Nutzer auf, eine angebliche „ChatGPT“-Version für „Windows“ herunterzuladen, welche in Wirklichkeit ein Archiv mit einer ausführbaren Datei sei.

„Nachdem der Installationsvorgang beginnt, bricht er abrupt mit einer Fehlermeldung ab, laut der das Programm nicht installiert werden konnte.“ Die Betroffenen dächten dann wohl, „dass das Programm einfach nicht installiert werden konnte und vergessen es“.

Tatsächlich setze sich jedoch die Installation des Stealer-Trojaners „Trojan-PSW.Win64.Fobo“ fort, „ohne dass das Opfer etwas davon bemerkt“. Dieser Trojaner ziele darauf ab, Informationen über gespeicherte Konten von verschiedenen Browsern zu stehlen, darunter „Chrome“, „Edge“, „Firefox“ oder „Brave“.

Die Angreifer seien speziell an den „Cookies“ und Anmeldeinformationen von „facebook“-, „TikTok“- und „Google“-Konten interessiert – „insbesondere von Konten, die mit Unternehmen in Verbindung stehen“. Der Trojaner stehle Anmeldedaten und versuche, an zusätzliche Informationen zu gelangen, etwa über die Höhe der Werbeausgaben oder den aktuellen Saldo der Geschäftskonten.

Malware-Angreifer haben globalen Markt im Blick

Die Angreifer hätten den globalen Markt im Blick; es seien schon Nutzer in Afrika, Asien, Europa und Amerika mit dem betrügerischen „Desktop-Client“ für „ChatGPT“ angegriffen worden.

„Diese Kampagne ist ein hervorragendes Beispiel dafür, wie Angreifer Social-Engineering-Techniken nutzen, um das Vertrauen auszunutzen, das Nutzer beliebten Marken und Diensten entgegenbringen“, kommentiert Darya Ivanova, Sicherheitsexpertin bei Kaspersky, diese Malware-Kampagne und führt weiter aus:

„Nutzer müssen sich bewusst darüber sein, dass ein legitim aussehender Dienst nicht immer bedeutet, dass er es auch ist. Sie sollten sich stets über aktuelle Techniken und Taktiken von Cyber-Kriminellen informieren und wachsam sein, um sich vor Angriffen dieser Art zu schützen.“

Kaspersky-Tipps zum Schutz vor schädlichen Malware-Kampagnen:

• Software nur von der offiziellen Webseite des Unternehmens oder des Dienstes herunterladen – nicht von Drittanbietern.
• Vor dem Download der Software darauf achten, dass diese legitim ist. In der URL-Leiste sollte ein Vorhängeschloss-Symbol zu finden sein und die URL der Webseite sollte mit „https://“ beginnen.
• Sichere, einzigartige und starke Passwörter für jedes Konten nutzen und wo immer möglich, die Zwei-Faktor-Authentifizierung aktivieren.
• Bei verdächtigen Links oder E-Mails aus unbekannten Quellen wachsam sein. Betrüger verwenden häufig Social-Engineering-Techniken, um Nutzer dazu zu bringen, auf Links zu klicken oder schädliche Software herunterzuladen.
• Eine zuverlässige Sicherheitslösung wie z.B. „Kaspersky Premium“ einsetzen, die Malware erkennen und entfernen kann.

Weitere Informationen zum Thema:

kaspersky daily, Daria Ivanova, 22.02.2023
Malicious (and fake) ChatGPT client for Windows / Cybercriminals are distributing a Trojan stealer under the guise of a ChatGPT desktop client for Windows

Team Nautilus, ein aqua-Forschungsteam, hat eine neue, hochmoderne und maßgeschneiderte Malware einer neuen Gruppe entdeckt

[datensicherheit.de, 09.02.2023] Ein neuer Akteur namens „HeadCrab“ setzt offenbar hochmoderne Malware gegen „Redis“-Server ein, welche von agentenlosen und herkömmlichen Anti-Viren-Lösungen demnach nicht erkannt wird. Seit September 2021 soll die Gruppe bereits die Kontrolle über mindestens 1.200 Server übernommen haben, meldet Aqua Security in einer aktuellen Stellungnahme.

Abbildung: aqua

aqua-Warnung vor neuer auf „redis“ zielender „HeadCrab“-Malware

Malware kann in Redis-Datenbank-Server eindringen und sich in diesen unentdeckt aufhalten

Aqua Security warnt nach eigenen Angaben „vor einer neuen, schwer zu fassenden und schwerwiegenden Bedrohung“: Die hauseigene Forschungseinheit, das „Team Nautilus“, habe eine neue, hochmoderne und maßgeschneiderte Malware einer neuen Gruppe entdeckt, welche sich selbst „HeadCrab“ nenne.

„Die Malware dringt in ,Redis’-Datenbank-Server ein und hält sich fortan in diesen meist komplett unentdeckt auf, da sie von agentenlosen und herkömmlichen Anti-Viren-Lösungen offenbar nicht erkannt werden kann.“ So habe die „HeadCrab“-Malware bereits seit September 2021 weltweit eine hohe Anzahl von „Redis“-Server kompromittieren und bis dato die Kontrolle über mindestens 1.200 Server übernehmen können.

Über das Internet zugängliche Redis-Server anfällig für Malware-Angriffe

„,Redis’ ist ein Open-Source-Speicher für In-Memory-Datenstrukturen, der als Datenbank, Cache oder Nachrichtenbroker verwendet werden kann.“ Laut „DB-Engines“ sei „Redis“ der am meisten verbreitete Schlüssel-Werte-Speicher – „insbesondere weil ,Redis’ für diesen Zweck schneller ist als relationale Datenbanken wie beispielsweise ,MySQL’“.

„Redis“-Server seien deshalb verwundbar, weil sie ursprünglich nur in einem sicheren, geschlossenen Netzwerk laufen sollten, anstatt dem Internet ausgesetzt zu sein. Deswegen sei bei ihnen die Authentifizierung standardmäßig nicht aktiviert. Dies mache über das Internet zugängliche „Redis“-Server anfällig für unbefugten Zugriff und die Ausführung von Befehlen.

Maßnahmen zum Schutz vor HeadCrab-Malware

„Aqua Security hat einen detaillierten Blog-Beitrag über ,HeadCrab’ erstellt.“ Darin werden laut Aqua Security „die Einzelheiten des ,HeadCrab’-Angriffs erläutert – inklusive der verwendeten Techniken der Malware, um unerkannt zu bleiben“.

Unternehmen, welche „Redis“-Server im Einsatz haben, könnten in diesem Beitrag detaillierte Maßnahmen zum Schutz ihrer Systeme finden.

Weitere Informationen zum Thema:

Aqua Blog, Asaf Eitani & Nitzan Yaakov, 01.02.2023
HeadCrab: A Novel State-of-the-Art Redis Malware in a Global Campaign

WIKIPEDIA
Redis

DB-ENGINES
Redis Systemeigenschaften

Diebstahl von Informationen auch unter Cyber-Kriminellen auf der Tagesordnung

[datensicherheit.de, 12.09.2022] Laut einer aktuellen Stellungnahmen von Zscaler ist der Diebstahl von Informationen für Cyber-Banden von grundlegender Bedeutung, um sich Zugang zu Systemen zu verschaffen und größere Malware-Kampagnen gegen Unternehmen zu initiieren. In einer jüngsten Analyse der „Prynt Stealer“-Malware haben demnach „ThreatLabz“-Sicherheitsforscher von Zscaler nun herausgefunden, dass Diebstahl von Informationen auch unter Cyber-Kriminellen auf der Tagesordnung steht.

Abbildung: Zscaler 2022

ThreatLabz-Sicherheitsforscher: Analyse der Prynt-Stealer-Malware

Cyber-Hintertür entdeckt: automatische Kopien exfiltrierter Daten der Opfer an privaten Telegram-Chat

Schadcode zum Erbeuten von Firmeninformationen, wie beispielsweise der sogenannte Infostealer „Prynt“, würden von den Machern häufig über einen „Builder“ konfiguriert und dann an weniger erfahrene Bedrohungsakteure verkauft. Bei der Analyse des „Prynt Stealer“ hätten die Sicherheitsforscher nun eine Hintertür entdeckt, „die automatisch Kopien der exfiltrierten Daten der Opfer an einen privaten ,Telegram’-Chat weiterleitet“.

Dieser Chat wird von den Entwicklern des Builders überwacht, die damit die gestohlenen Daten abgreifen könnten. Auf diese Weise gelangten die Daten der bestohlenen Organisationen in die Hände mehrerer Bedrohungsakteure, „wodurch sich das Risiko eines oder mehrerer groß angelegter Angriffe erhöht“.

Mit Prynt Stealer können Cyber-Kriminelle Anmeldeinformationen erfassen

Mit dem „Prynt Stealer“ seien Cyber-Kriminelle in der Lage, Anmeldeinformationen zu erfassen, „die auf einem kompromittierten System gespeichert sind, einschließlich Webbrowsern, VPN/FTP-Clients sowie Messaging- und Spieleanwendungen“. Programmiert worden sei der Stealer auf Basis von Open-Source-Projekten wie „AsyncRAT“ und „StormKitty“. Nach den Erkenntnissen der Sicherheitsforscher seien die Malware-Familien „DarkEye“ und „WorldWind“, welche ebenfalls Informationen stehlen würden, mit „Prynt Stealer“ nahezu identisch.

„Prynt Stealer“ sei eine relativ neue, in „.NET“ geschriebene Malware-Familie für Informationsdiebstahl. Bei „Prynt Stealer“ handele es sich teilweise um Code, welcher direkt aus den „Repositories“ der Varianten „WorldWind“ und „DarkEye“ kopiert worden sei und auf densekben Malware-Autor schließen lasse. Viele Teile des „Prynt Stealer“-Codes, welche von anderen Malware-Familien entliehen worden seien, würden nicht verwendet, seien aber in der Binärdatei als unerreichbarer Code vorhanden. Die erbeuteten Dateien des Opfers würden zu einem „Telegram“-Account des „Prynt“-Betreibers weitergeleitet. „Was der Betreiber nicht wissen dürfte, ist allerdings, dass eine Kopie dieser Daten via einen weiteren eingebetteten ,Telegram’-Kanal ebenfalls an den eigentlichen Autoren der Malware geschickt wird. Als Hintertür kommt dabei ,DarkEye’-Code zum Einsatz.“

Autor profitiert von Aktivitäten anderer Cyber-Krimineller

Bereits in der Vergangenheit habe dieses Vorgehen von Malware-Autoren beobachtet werden wenn – „wenn Malware kostenlos zur Verfügung gestellt wurde“. Der Autor profitiere von den Aktivitäten der Cyber-Kriminellen, „die seine Malware einsetzen und Unternehmen damit infizieren“.

Da alle entdeckten „Prynt Stealer“-Samples denselben „Telegram“-Kanal eingebettet hätten, lasse auf den vorsätzlichen Einbau der Hintertür zum Zweck der Monetarisierung schließen, obwohl manche der Kunden auch für „Prynt Stealer“ bezahlten.

Auch im Cyberspace keine Ehre unter Dieben

Die freie Verfügbarkeit von Quellcode von zahlreichen Malware-Familien habe die Entwicklung und Anpassung für Bedrohungsakteure mit geringen Programmierkenntnissen einfacher denn je gemacht. Infolgedessen seien im Laufe der Jahre viele neue Malware-Familien entstanden, die auf beliebten „Open Source“-Malware-Projekten wie „NjRat“, „AsyncRAT“ und „QuasarRAT“ basierten.

„Der Autor von ,Prynt Stealer’ ging noch einen Schritt weiter und fügte eine Hintertür hinzu, um seine Kunden zu bestehlen. Dafür baute er einen ,Telegram’-Token und eine Chat-ID in die Malware ein.“ Diese Taktik sei keineswegs neu und zeige einmal mehr, „dass es keine Ehre unter Dieben gibt“.

Weitere Informationen zum Thema:

zscaler, 01.09.2022
No Honor Among Thieves – Prynt Stealer’s Backdoor Exposed / Technical Comparison of Prynt Stealer, WorldWind, and DarkEye Malware