[English]Heute ist "World Password Day". Daher noch ein kleiner Sammelbeitrag in Punkto IT-Sicherheit, der aber wenig mit Passwörtern zu tun hat (das Thema habe ich die letzten Jahre oft adressiert). Es sieht so aus, als ob die Akteure der Revil Ransomware-Gruppe wieder zurück sind und erneut aktiv werden. Dann wurde eine neue, Bumblebee genannte, Malware entdeckt. Und IoT-Geräte erweisen sich als Schwachstelle zum Einfall in Netzwerke. Es gab einen Sicherheitsvorfall, bei dem IoT-Kameras als C&C-Server missbraucht wurden. Mandiant hat den Fall aufgedeckt, bei dem Exchange kompromittiert und E-Mails abgezogen wurden. Zudem wurde ein DNS-Bug entdeckt, der Millionen IoT-Geräte anfällig macht. Diverse Geräte sind anfällig für RCE-Angriffe.
Anzeige
REvil scheint zurück zu sein
Die REvil-Gruppe war für zahlreiche Ransomware-Angriffe auf US-Firmen und Organisationen, aber auch auf Opfer außerhalb der USA verantwortlich. Ich hatte hier im Blog häufiger über deren Aktionen berichtet. Es war auch schon berichtet worden, dass deren Infrastruktur abgeschaltet worden sei (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet). Aber die Gruppe wurde wieder aktiv und verschwand wieder. Die letzte Meldung hier im Blog lautet, dass die Gruppe in Russland durch deren Inlandsgeheimdienst zerschlagen worden sei (siehe REvil-Ransomware-Gruppe in Russland durch FSB zerschlagen).
Aber auch dies scheint nicht von Dauer gewesen zu sein. Unter anderem haben die Kollegen von Bleeping Computer bereits in obigem Tweet und vom 1. Mai 2022 auf diesen Sachverhalt hingewiesen. Knapp zusammen gefasst: Die REvil-Tor-Infrastruktur funktioniert wieder, wobei Besucher aber auf neue URLs für nicht benannte Ransomware-Operationen umgeleitet werden. Sieht zwar nicht wie die früheren REvil-Webseiten aus. Aber es gibt einige Indizien, dass Akteure aus der Gruppe wieder mit Aktivitäten beginnen.
Es gab zwar Ransomware-Operationen, die gepatchte Versionen des REvil-Verschlüsselers verwendeten. Nun wurden aber Malware-Kampagnen entdeckt, die offenbar Verschlüsselungsmodule der REvil-Gruppe aufweisen, die aus dem ursprünglichen Quellcode stammen und weiter entwickelt wurden. Details lassen sich in diesem Artikel der Kollegen nachlesen.
Anzeige
DLL-Hijacking-Schwachstellen in Malware ausnutzbar?
Es gibt wohl auch eine gute Nachricht in diesem Themenfeld, auf die die Kollegen von Bleeping Computer in diesem Tweet und diesem Beitrag hinweisen.
Die von Ransomware-Gangs wie Conti, REvil, Black Basta, LockBit oder AvosLocker wiesen allesamt Bugs und Schwachstellen auf, die von Sicherheitssoftware ausgenutzt werden konnte, um die Dateiverschlüsselung, zu verhindern. Der Sicherheitsforscher mit dem Twitter Alias hyp3rlinx weist in diversen Tweets darauf hin, dass die Ransomware anfällig für DLL-Hijacking ist. Sofern also die Namen der DLLs bekannt sind, könnte eine Sicherheitssoftware gleichnamige DLLs beispielsweise im Download-Ordner platzieren und die Malware-Operationen aushebeln. Details lassen sich hier nachlesen.
Neuer BumbleBee-Loader
Sicherheitsforscher sind bei der Analyse von Malware auf einen neuen, BumbleBee genannten Loader gestoßen. Nachfolgender Tweet weist auf einen Bericht von Proofpoint hin, die den neuen Malware-Loader in den letzten Wochen bei Angriffen entdeckten.
Der neue Loader wird von mehreren Cybergangs verwendet, die vorher BazaLoader und IcedID verwendeten. BazaLoader wurde von Proofpoint seit Februar 2022 nicht mehr in Kampagnen nachgewiesen. Der Bumblebee-Loader befindet sich in aktiver Entwicklung und verfügt über ausgefeilte Umgehungstechniken vor Entdeckung durch Sicherheitssoftware, die eine komplexe Anti-Virtualisierung beinhalten.
So werden HTML-Anhänge mit einem Link verwendet, der die Opfer über ISO-Dateien zum Download umleiten und über .lnk-Dateien auf Malware-Seiten umleiten (siehe auch meinen Artikel SANS ISC warnt: Bösartige ISO-Datei in HTML-Seite eingebettet (Jan 2022) vom Januar 2022). Die ISO-Dateien enthalten dann die .lnk-Dateien zur Umleitung auf Malware-Funktionen, um die Systeme zu infizieren. Im Gegensatz zu den meisten anderen Schadprogrammen, die Process Hollowing oder DLL-Injektion verwenden, nutzt dieser Loader eine asynchrone Prozeduraufruf-Injektion (APC), um den Shellcode aus den Befehlen zu starten, die er von der Command and Control (C2) erhält, schreiben die Sicherheitsforscher. Proofpoint beobachtete, dass Bumblebee Cobalt Strike, Shellcode, Sliver und Meterpreter ausführt. Details sind dem Beitrag von Proofpoint zu entnehmen.
Virus Bulletin weist in obigem Tweet und diesem Artikel auf die Analyse des BumbleBee-Loaders hin. Ich fürchte, wir werden da noch einiges von "der Hummel" (BumbleBee) hören.
Sicherheitsrisiko IoT-Geräte
Es kristallisiert sich inzwischen immer stärker heraus, dass IoT-Geräte im Netzwerk das Sicherheitsrisiko für Angriffe stark erhöhen. Im November 2021 hatte heise in diesem Beitrag darauf hingewiesen, dass Schwachstellen im IoT-Protokoll Industriesteuerungen und Prozessleitsysteme anfällig für Angriffe machen. Von Microsoft gibt es diesen Beitrag zur Absicherung von Industrieanlagen. Und im Sommer 2021 gab es hier im Blog den Beitrag Gefährden IoT-Geräte mit eingebauten "Radio-Chips" die IT-Sicherheit. Die Tage sind mir weitere Meldungen zum Thema IoT-Sicherheit untergekommen.
DNS-Bug als Risiko für IoT-Geräte
Ein Blog-Leser hatte mich bereits auf das Thema hingewiesen. Sicherheitsforscher sind in einer Bibliothek auf einen Schwachstelle in den DNS-Funktionen gestoßen, die Millionen IoT-Geräte betrifft. Die Schwachstelle in der DNS-Komponente (Domain Name System) kann für DNS-Poisoning oder DNS-Spoofing ausgenutzt werden. Dies ermöglicht Angreifern, Opfer auf eine von diesen kontrollierte, bösartige Website umzuleiten.
Die Schwachstelle findet sich in der Bibliothek uClibc (Fork vom OpenWRT-Team uClibc-ng ist auch betroffen). Beide Bibliotheken werden von großen Anbietern wie Netgear, Axis und Linksys sowie von Linux-Distributionen, die für eingebettete Anwendungen geeignet sind, häufig verwendet. Die Kollegen von Bleeping Computer weisen in diesem Beitrag auf dieses Problem hin.
Spione nutzen IoT-Kameras als C&C-Server, stehlen Exchange-E-Mails
Gerade wurde von Mandiant ein aktueller Fall aufgedeckt, bei dem Cyber-Spionen IoT-Kameras als C&C-Server verwendeten und in Exchange eingedrungen sind, um dort E-Mails zu lesen bzw. zu kopieren. Auch wenn der initiale Angriffsvektor für den Zugriff noch unbekannt ist, zeigt der Vorfall, wie problembehaftet die Vernetzung sein kann.
Die Kollegen von Bleeping Computer haben diesen Vorfall in obigen Tweet adressiert und hier mit Details aufbereitet.
Das Thema Sicherheit bei IoT-Geräten in Privathaushalten spare ich bewusst mal aus, da das vermutlich in einem Alptraum enden würde.
Weitere Meldungen
Sicherheitsforscher von Mandiant weisen in diesem Artikel auf eine neue Gruppe mit der Bezeichnung APT29 hin. In einer Reihe von Phishing-Wellen haben die mehrere diplomatische und staatliche Einrichtungen ins Visier genommen. Die Sicherheitsforscher identifizierten auch zwei neue Malware-Familien, BEATDROP und BOOMMIC, sowie den Missbrauch des Trello-Dienstes von Atlassian durch APT29.
Netzwerkswitches von Aruba und Avay sind durch Schwachstellen für RCE-Angriffe anfällig. Sicherheitsforscher des auf vernetzte Geräte spezialisierten Unternehmens Armis nennen die Schwachstelle "TLStorm 2.0" (ich hatte diesen Artikel TLStorm: 3 kritische 0-day-Schwachstellen gefährden Smart-UPS von APC zu der ursprünglichen Entdeckung der Schwachstelle bei intelligenten UPS-Einheiten hier im Blog). Details finden sich im Blog-Beitrag TLStorm 2.0: 5 kritische Schwachstellen in Netzwerk-Switches. Die Kollegen von Bleeping Computer haben den neuen Sachverhalt bei den Netzwerkswitches von Aruba und Avay ebenfalls in diesem Beitrag thematisiert.
Wer BIG-IP von F5 verwendet, sollte ebenfalls reagieren, denn auch dort gibt es einen RCE-Bug, der die Geräteübernahme ermöglicht. Auch hier verweise ich auf die Kollegen von Bleeping Computer, die das Ganze in diesem Artikel aufgreifen.
Ähnliche Artikel:
Europol zerschlägt Ransomware-Gruppe
Europol & Co. lassen 2 Ransomware-Operatoren in der Ukraine festnehmen
Europol hebt zwei SIM-Swapping-Gruppen aus
Europol schnappt wohl Kopf der Carbanak Malware-Kampagne
Ironside: Polizei trickst Kriminelle mit ANOM-Messenger-App aus
Mitglieder der Egregor-Ransomware-Gang verhaftet
Details zur Emotet Deinstallation durch Strafverfolger
Mutmaßlicher Hintermann der REvil-Gang in Russland identifiziert
REvil Cyber-Gang stellt Aktivitäten nach Hijacking von Tor-Seiten ein
Bitdefender stellt universellen REvil-Decryptor bereit
Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Fünf Mitglieder der Sodinokibi/REvil Ransomware-Gruppe verhaftet
REvil-Ransomware-Gruppe in Russland durch FSB zerschlagen
Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022)
Anzeige
Heute ist nicht World Password Day.
Das hat sich ein einfach jemand ausgedacht um Aufmerksamkeit zu generieren.
Sollte man nicht drauf reinfallen.
Ach so? Dann sind die Artikel hier auch ausgedacht, was?
*ttps://www.microsoft.com/security/blog/2022/05/05/this-world-password-day-consider-ditching-passwords-altogether/
*ttps://nationaldaycalendar.com/world-password-day-first-thursday-in-may/
*ttps://www.daysoftheyear.com/days/password-day/
Er wollte doch nur provozieren …
Mir schon klar, aber falls es ein weniger IT-Affiner liest, sollte erstens dein guter Ruf nicht unterminiert werden durch den Quatsch, und zweitens der-/die-/dasjenige sich auch ordentlich darüber informieren können :-)
Danke, wusste deinen Kommentar schon zu würdigen. I.d.R. verkneife ich mir, auf Kommentare der Art zu Antworten.
Zum "guten Ruf": Da halte ich es mit dem alten Spruch "Ist der Ruf erst ruiniert, bloggt's sich gänzlich ungeniert". Ich stehe seit fast 29 Jahren vorne in der Bütt und davon 15 als Blogger hier im Blog – da geht auch mal was daneben, da muss ich mit leben. Wie heißt es so schön: Wer die Hitze nicht abkann, darf nicht in der Küche arbeiten ;-).