Passwordstate-Lieferkettenangriff setzt 29.000 Unternehmen dem Risiko eines Kompromisses aus
Inhaltsverzeichnis:
Der australische Softwarehersteller Click Studios wurde Opfer eines Sicherheitsvorfalls, der zu einem Supply-Chain-Angriff führte. Im April 2020 gelang es Angreifern, den Upgrade-Mechanismus der Passwordstate-Enterprise-Passwortverwaltung von Click Studios zu kompromittieren, um die Moserpass-Malware auf die Geräte der Benutzer zu übertragen. Die Anzahl der betroffenen Kunden ist derzeit unbekannt, jedoch behauptet der Anbieter, dass die Infektionsrate sehr gering sei. Trotzdem läuft die Untersuchung weiter, und die endgültige Zahl der Opfer könnte steigen. Bisher verlassen sich über 29.000 Unternehmen weltweit auf Passwordstate, um ihre täglichen Prozesse zu verwalten, darunter Fortune-500-Unternehmen, Regierungsinstitutionen und Verteidigungsbehörden.
Details zum Supply-Chain-Angriff
Die offizielle Erklärung von Click Studios offenbart, dass der Sicherheitsvorfall zwischen dem 20. April 2021, 20:33 Uhr UTC und dem 22. April 2021, 00:30 Uhr UTC erfolgte. Alle Kunden, die den Service in diesem Zeitraum aktualisiert haben, könnten ihre Firmensysteme in Gefahr gebracht haben.
Laut der Untersuchung der CSIS Group, einer Sicherheitsfirma, die den Angriff untersucht, gelang es bösartigen Akteuren, eine Direktordatei auf der Click Studios-Website zu kompromittieren und den Upgrade-Mechanismus der Passwordstate-App zu stören. Insbesondere modifizierten Hacker das Update mit einer bösartigen „Moserware.SecretSplitter.dll“ Bibliothek, die mit Hilfe eines kleinen Codes mit dem Namen „Loader“ eingefügt wurde. Dadurch lieferte das reguläre Update die Moserpass-Malware in Form einer „Passwordstate_upgrade.zip“ Datei an die Opfer. Bemerkenswert ist, dass die grobe DLL auf ein Content Delivery Network (CND) angewiesen war, das am 22. April 2021 um 7 Uhr UTC beendet wurde.
Bösartige Funktionalität von Moserpass
Nach der Infektion ist die Moserpass-Malware in der Lage, sensible System- und Passwordstate-Daten zu sammeln, die weiter an den Kommando- und Kontrollserver (C&C) unter der Kontrolle des Angreifers gesendet werden. Insbesondere gibt diese bösartige Software solche Details wie Computername, Benutzername, Domänenname, aktueller Prozessname, aktuelle Prozess-ID, alle Laufdienste mane, Proxy-Server-Adresse der Passwordstate-Installation, Passwordstate-Anmeldeinformationen und mehr aus. Der Domainname und Hostname werden jedoch nicht als Teil dieses bösartigen Prozesses gesammelt. Es gibt auch keine Hinweise darauf, dass Verschlüsselungsschlüssel oder Datenbankverbindungszeichenfolgen an den C&C des Angreifers übertragen werden. Nachdem Daten gesammelt und hochgeladen wurden, schläft die Moserpass-Malware 24 Stunden und beginnt dann erneut mit ihrer bösartigen Aktivität.
Es ist erwähnenswert, dass Kunden, deren Passwordstate-Anmeldeinformationen verschlüsselt sind, als sicher gelten, da Moserpass nicht in der Lage ist, solche Daten zu ernten.
Erkennung und Minderung
Click Studios ermutigt seine Kunden, so schnell wie möglich einen Passwortwechsel zu initiieren. Der Anbieter hat auch eine detaillierte Beratung herausgegeben, die relevante Minderungsmaßnahmen bietet.
Um mögliche bösartige Aktivitäten zu erkennen und Ihre organisatorische Infrastruktur zu schützen, können SOC Prime-Kunden eine Reihe der neuesten Erkennungsregeln im Threat Detection Marketplace herunterladen. Alle Inhalte sind direkt auf den MITRE ATT&CK®-Rahmen abgebildet und enthalten die entsprechenden Referenzen und Beschreibungen:
- Mögliche kompromittierte PasswordState-Software identifizieren [Supply-Chain-Angriff] (über cmdline)
- Mögliche kompromittierte PasswordState-Software identifizieren [Supply-Chain-Angriff] (über image_load)
- Mögliche kompromittierte PasswordState-Software identifizieren [Supply-Chain-Angriff] (über Proxy)
Abonnieren Sie den Threat Detection Marketplace kostenlos, um Ihre Cybersecurity-Fähigkeiten zu verstärken. Unsere SOC-Inhaltsbibliothek enthält über 100.000 Erkennungs- und Reaktionsregeln, Parser, Suchabfragen und andere relevante SOC-Inhalte, sodass Sie der steigenden Anzahl von Cyberangriffen widerstehen können. Behalten Sie die neuesten Trends in der Cybersicherheit im Auge und möchten Sie an Bedrohungsjagdaktivitäten teilnehmen? Nutzen Sie die Chance, zur Sicherheit der Welt beizutragen, indem Sie unserem Threat Bounty Program beitreten.
