ISPIN Security Radar #22/19

/Security Radar

WordPress ist mit ca. 50% Marktanteil das am weitesten verbreitete CMS System zum Betrieb von Webseiten. Die Cyberkriminellen sind ständig auf der Suche nach neuen Möglichkeiten und WordPress-Plugins gehören zu den beliebtesten Zielen, da die Site-Administratoren in der Regel das Einspielen der neuesten Patches hinauszögern. So wurde letzte Woche davon berichtet, dass Hacker derzeit WordPress Websites mit veralteten Versionen des WP Live Chat Support Plugins angreifen. Forscher von ZScaler's ThreatLabZ entdeckten, dass Angreifer die Schwachstelle aktiv ausnutzen um ein bösartiges JavaScript zu implementieren, das "bösartige Umleitung, unerwünschte Popups und gefälschte Abonnements" verursacht. Cyberkriminelle sind ständig auf der Suche nach neuen Schwachstellenberichten, um zu erfahren, wie sie ungeschützte Websites gefährden können. Es scheint, dass die Domäne, die das bösartige JavaScript liefert, speziell für diese Angriffe registriert wurde, denn Sie wurde einen Tag nachdem das WP Live Chat Support Plugin einen Patch zur Behebung der Schwachstelle erhalten hat erstellt. 

Die Sicherheitsfirma Guardicore entedckte eine Angriffsserie, Nansh0u genannt, die es auf Windows-Server mit Microsoft-SQL-Server- und PhpMyAdmin-Installationen abgesehen hat. Die Malware platzierte dort ein signiertes Kernelrootkit, um heimlich die Kryptowährung Monero schürfen zu können. Guardicore schreibt dazu"Die Nansh0u-Kampagne ist kein typischer Kryptominer-Angriff. Es werden Techniken eingesetzt, die häufig von Advanced Persistent Threats (APT) verwendet werden, zum Beispiel gefälschte Zertifikate und Exploits zur Erhöhung von Berechtigungen". Über einen Bruteforce-Angriff erlangten die Cyberkriminellen Zugriff auf Microsoft-SQL-Server und in manchen Fällen auf PhpMyAdmin und schleusten danach einen Kryptominer ein. Im Anschluss weiteten sie ihre Rechte mit einer Treibersoftware aus, die mit einem gültigen Verisign-Zertifikat signiert war. Dieser Treiber nutzte eine alte, bereits 2014 von Microsoft gepatchte, Sicherheitslücke (CVE-2014-4113) aus! Mit den Administratorrechten platzierten die Angreifer dann ein Kernel-Rootkit, welches den Miner-Prozess überwacht und das System daran hindert diesen zu beenden. Über Einträge in der Windows-Registry konnten sich die Angreifer dauerhaft im System einnisten. Bisher wurden offenbar mehr als 50000 Server von Unternehmen aus den Bereichen Gesundheit, Telekommunikation, Medien und IT infiziert. Eine Anleitung wie die Malware entfernt werden kann, finden Sie hier

Turla, eine auch „Snake“ oder „Uroburos“ genannte Cyberspionage-Gruppe, von der angenommen wird, dass sie aus Russland stammt, greift erneut politische Ziele (Regierungen, militärische Ziele oder Forschungseinrichtungen) an, wobei diesmal PowerShell-Skripte mit Waffen ausgestattet wurden. Über „PowerShell“-Skripte können sie Malware-Dateien und -Bibliotheken direkt im Speicher von PCs platzieren und ausführen. Über die Gründe für das geänderte Vorgehen schreibt ESET dazu: „Viele Antimalware-Programme und auch der ,Windows Defender‘ sind immer noch nicht in der Lage, den RAM-Arbeitsspeicher komplett und in Echtzeit zu überprüfen. So haben dateilose Angriffe leichtes Spiel und können problemlos beliebige Schadsoftware nachladen“.

Weiter hat Microsoft Unternehmen erneut gewarnt, ältere Versionen von Windows gegen eine schwere Schwachstelle im Remote Desktop Protocol (RDP)-Dienst zu patchen. Angreifbar sind in erster Linie mit dem Internet verbundene PCs, auf denen Windows XP oder Windows 7 läuft, sowie deren Server-Varianten 2003 und 2008.
 

Wie gut sind die sensiblen Daten Ihrer Kunden und die Ihres Unternehmens geschützt? Mit den zuverlässigen Advanced Threat Protection Services von ISPIN gehen Sie auf eine Nummer sicher.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter