Eine berüchtigte chinesische APT-Gruppe, bekannt unter dem Namen „DriftingCloud“, zielt auf die Cybersicherheitsfirma Sophos ab. Der Bedrohungsakteur wird nämlich verdächtigt, hinter der aktiven Ausnutzung eines Sicherheitslochs in der Sophos-Firewall zu stecken. Die Schwachstelle, die als CVE-2022-1040 verfolgt wird, hat einen Schweregrad von 9.8 und betrifft seit Anfang Frühjahr 2022 die Sophos-Firewall-Versionen 18.5 MR3 und älter. […]
DFSCoerce-Erkennung: Neuer NTLM-Relay-Angriff ermöglicht Übernahme von Windows-Domains
Bereiten Sie sich auf einen neuen PetitPotam-ähnlichen NTLM-Relay-Angriff vor, der die vollständige Übernahme eines Windows-Domains durch Missbrauch des Microsoft Distributed File Systems (MS-DFSNM) ermöglicht. Die neue Angriffsmethode, genannt DFSCoerce, erlaubt es Angreifern, Windows-Server zur Authentifizierung mit einem von Hackern kontrollierten Relay zu zwingen. Auch Domänencontroller (DC) sind anfällig, was ein erhebliches Risiko der gesamten Domänenkompromittierung […]
Erkennung von gefälschten Voicemail-Kampagnen: Alte-neue Phishing-Attacke trifft die USA
Eine neue Phishing-Kampagne ist im Aufschwung, die eine breite Palette von Branchen und Organisationen in den USA betrifft, darunter kritische Infrastrukturen wie Sicherheit, Gesundheitswesen und Pharmazeutika, das Militär und auch die Lieferkette der Fertigung. Der Betrug breitete sich im Mai 2022 über die USA aus und dauert immer noch an. Die Ziele erhalten eine Phishing-Benachrichtigungs-E-Mail, […]
CredoMap- und Cobalt-Strike-Beacon-Erkennung: APT28-Gruppe und UAC-0098-Bedrohungsakteure greifen erneut ukrainische Organisationen an
Am 20. Juni 2022 veröffentlichte CERT-UA zwei separate Warnungen, die die globale Cybersicherheitsgemeinschaft vor einer neuen Welle von Cyberangriffen auf ukrainische Organisationen warnen, bei denen die bösartige Zero-Day-Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird, als CVE-2022-30190 aka Follinaausgenutzt wird. In der CERT-UA#4842 -Warnung enthüllten Cybersicherheitsforscher die bösartigen Aktivitäten einer Hackergruppe, die als UAC-0098 identifiziert […]
GoodWill Ransomware-Erkennung: Neue Malware zwingt ihre Opfer, der Gesellschaft etwas zurückzugeben
Eine ziemlich ungewöhnliche Art von Malware hat kürzlich Schlagzeilen gemacht. Der neue Strain wird GoodWill Ransomware genannt, und seine Neuheit liegt in der Natur der Forderungen, die die Opfer erfüllen müssen, um den Entschlüsselungsschlüssel zu erhalten. Die Ransomware-Betreiber, die behaupten, sie seien „hungrig nach Freundlichkeit“, erwarten von ihren Zielen, dass sie Bedürftige unterstützen. Als Teil […]
Lyceum .NET DNS-Backdoor-Erkennung: Iranische staatlich unterstützte APT-Gruppe nutzt neue Hijacking-Malware
Cybersicherheitsforscher haben kürzlich eine Welle neuer Cyberangriffe der von der iranischen Nation unterstützten APT-Gruppe namens „Lyceum“, auch bekannt als HEXANE, aufgeklärt. Lyceum-Akteure agieren seit 2017 in der Cyber-Bedrohungslandschaft und zielen hauptsächlich auf Organisationen im Nahen Osten in den Bereichen Energie und Telekommunikation ab. In der neuesten Kampagne der Lyceum-Gruppe haben Bedrohungsakteure eine neuartige .NET-basierte Backdoor […]
Erkennung von Telerik UI-Schwachstellen-Exploits: Blue Mockingbird nutzt CVE-2019-18935 aus
Die Blue Mockingbird-Cybercrime-Gruppe ist seit etwa zwei Jahren auf dem Cybersecurity-Radar. In der aktuellen Kampagne nutzt der Bedrohungsakteur die 2019 entdeckten Schwachstellen in einer beliebten Telerik UI-Suite für ASP.NET AJAX aus, die etwa 120 Komponenten umfasst. Die Hauptschwachstelle, nachverfolgt als CVE-2019-18935 mit einem kritischen Schweregrad von 9,8, ist ein .NET-Deserialisierungsfehler. Dieser führt zu einer Remote-Code-Ausführung, […]
PureCrypter Loader-Erkennung: Jetzt verbessert, um bösartige Aktivitäten zu fördern; Verbreitet Remote-Access-Trojaner und Infostealer
Cybersicherheitsforscher haben die Aktivitäten einer fortschrittlicheren Version eines voll funktionsfähigen Malware-Loaders namens PureCrypter beobachtet, der seit März 2021 aktiv Remote-Access-Trojaner (RATs) und Informationsdiebe verbreitet. Berüchtigte Malware-Beispiele, die mit PureCrypter geliefert werden, sind AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, und RedLine Stealer. Die aktualisierten Funktionen des PureCrypter-Malware-Loaders umfassen neue Module, die mit zusätzlichen Anti-Analysetechniken, […]
Erkennung des Syslogk Linux Rootkits: Neuartige Malware in freier Wildbahn
Ein neuer Kernel-Rootkit namens Syslogk gewinnt an Bedeutung und terrorisiert die Linux-Benutzer. Es wird angenommen, dass die neuartige Rootkit-Malware auf einem anderen Linux-Rootkit namens Adore-Ng basiert – ein ladbares Modul, das verwendet wird, um den Linux-Betriebssystemkern zu infizieren. Während die Betreiber von Syslogk derzeit in seine Entwicklung investieren und die Funktionalität des neuen Rootkits erweitern, […]
Erkennung von Schwachstellen in Fujitsu Cloud-Speicher
Fujitsu Eternus CS8000 (Control Center) V8.1 wurde im April 2022 als anfällig für Privilegien-Eskalationsangriffe eingestuft, wobei das Fujitsu PSIRT (Product Security Incident Response Team) am 1. Juni 2022 einen offiziellen Sicherheitshinweis veröffentlichte. Sicherheitsforscher meldeten zwei Sicherheitslücken in der Kontrollzentrum-Software des Anbieters, die es unbefugten Angreifern ermöglichten, aus der Ferne Code auszuführen und somit beliebige Befehle […]