ISPIN Security Radar #26/19

/Security Radar

Erhalten Sie einen kurzen Überblick über Security-Themen wie z.B. DanaBot, HawkEye Reborn, Spelevo, APT33 und Silex, welche die Sicherheitsexperten im Moment beschäftigen.

Malware findet ständig neue Wege, um die Erkennung zu umgehen. Das bedeutet nicht, dass einige nie entdeckt werden, aber es erlaubt Gegnern, die Zeitspanne zwischen der ersten Veröffentlichung und der Erkennung zu verlängern. Nur wenige Tage unter dem Radar zu fliegen, reicht aus, um genügend Maschinen zu infizieren, um für einen Angriff eine angemessene Summe an Einnahmen zu erzielen.

Der schnell wachsende DanaBot-Trojaner hat zusätzliche Funktionen erhalten. Eine neue Malware-Kampagne verbreitet eine aktualisierte Variante von DanaBot, die mit einem neuen Ransomware-Modul «NonRansomware» ausgestattet ist. Sie zielt darauf ab, potenzielle Opfer aus Italien und Polen über Phishing-E-Mails, die Malware-Dropper liefern, anzugreifen. NonRansomware kodiert alle Dateien auf lokalen Festplatten, mit Ausnahme derjenigen, die sich im Windows-Verzeichnis befinden. Jedes Objekt wird in einem separaten Thread mit dem AES128-Algorithmus verschlüsselt. Danach werden die Dateien um die Erweiterung .non erweitert, und jeder Ordner enthält das Dokument HowToBackFiles.txt, das die Anweisungen zum Wiederkauf der Daten enthält. Mehr Informationen finden Sie bei Check Point Research.

Cisco Talos hat kürzlich eine neue Kampagne entdeckt, die den Keylogger HawkEye Reborn und andere Malware bereitstellt. Die Phishing-E-Mail, die die Benutzer erhalten, veranlassen diese, eine URL zu besuchen, die ein 7Z-Archiv mit einer EXE-Datei herunterladen würde. Die ausführbare Datei extrahiert beim Start den Payload von HawkEye und injiziert sie in einen RegAsm-Prozess. Der erste Schritt der Malware besteht darin, eine Zwischenablage und einen Keylogger einzurichten, der Windows-native APIs zur Datenerfassung nutzt. Es werden dann zwei untergeordnete Prozesse gestartet, einer, der Browser-Anmeldeinformationen sammelt und einer, der IM- und E-Mail-Client-Anmeldeinformationen und Profile sammelt. Diese Daten werden gesammelt, formatiert und in einer tmp-Datei gespeichert. Alle zehn Minuten stoppt der bösartige Prozess und führt die Exfiltration der gesammelten Daten durch. SMTP wird verwendet, um die Daten mit den Yandex-E-Mail-Anmeldeinformationen dieses Angreifers zu senden, die im Hauptprogramm enthalten waren und von Forschern während des Debuggens abgerufen wurden. Weitere Informationen finden Sie im Fortinet-Blogbeitrag.

Ein neu entdecktes Exploit-Kit (EK) wird über eine kompromittierte Business-to-Business-Website verbreitet. Mit dem kürzlich entdeckten Spelevo wird deutlich, dass EKs immer noch eine Bedrohung darstellen und ernst genommen werden sollten, sagen Cisco Talos Sicherheitsforscher. Die Forscher von Cisco Talos analysierten die kompromittierte Website, von der aus die Benutzer zu einem bösartigen "Gate" umgeleitet wurden, und fanden ein winziges bösartiges Skript, die Angreifer fügten nur vier Zeilen Code hinzu, auf vielen Seiten, einschliesslich der Haupt-Homepage. Um die Zielbenutzer von Sicherheitsforschern zu trennen, wird durch Angreifer bestimmt, von welcher Seite aus das Opfer auf die Landing Page des Exploit-Kits umgeleitet wird. Die Plattform sammelt Informationen über das Betriebssystem und den Browser des Opfers, die Adobe Flash-Version und die installierten Plugins. Wenn es eine veraltete Version von Flash findet, wird ein Benutzer auf den Exploit für CVE-2018-15982 umgeleitet, wenn der Benutzer ein nicht gepatchtes System mit verwundbarer VBScript-Engine hat, wird er auf einen Exploit für CVE-2018-8174 umgeleitet. Beide Exploits sind seit langem im Arsenal vieler EKs enthalten und werden in diesem Fall zur Bereitstellung von Dridex- und IcedID-Bank-Trojanern verwendet. Zu den Innovationen von Spelevo gehört es, den Nutzer nach einem erfolgreichen Kompromiss auf eine Google-Seite umzuleiten.

Die mit dem Iran verbundene Cyberspionagegruppe APT33 hat ihre Infrastruktur nach der Veröffentlichung eines Berichts über ihre Aktivitäten aktualisiert. Die Gruppe richtete Ihre Angriffe  auf die Luftfahrtindustrie und Energieunternehmen mit Verbindungen zur petrochemischen Produktion. Die meisten Ziele lagen im Mittleren Osten, andere in den USA, Südkorea und Europa.

Ein 14-jähriger Hacker hat diese Woche mindestens 4.000 Internet of Things-Geräte mit einer neuen Malware namens Silex infiziert. Die Malware, genannt Silex, wurde zuerst von Larry Cashdollar, Senior Security Intelligence Response Engineer bei Akamai, an seinem Honeypot entdeckt. Besonders betroffen waren Internet of Things (IoT)-Geräte, die auf Linux- oder Unix-Betriebssystemen laufen, die bekannte oder erratbare Standardpasswörter hatten. Die Malware beschädigte den Speicher der Geräte, entfernte ihre Firewalls und Netzwerkkonfigurationen und stoppte sie schliesslich vollständig.

 

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter