Die französische Nationale Behörde für die Sicherheit von Informationssystemen (ANSSI) enthüllte eine dreijährige Operation, die von der APT-Gruppe Sandworm gegen bedeutende IT- und Webhosting-Anbieter in Frankreich gestartet wurde. Die ANSSI-Beratung bietet Einzelheiten darüber, dass die Kampagne 2017 begann und zu einer Reihe nachfolgender Verstöße führte, einschließlich der Kompromittierung von Centreon, einem Überwachungssoftware-Unternehmen, dessen Produkte weitgehend […]
Microsoft behob eine 12 Jahre alte Fehleranfälligkeit für Rechteausweitung in Windows Defender
Im Februar 2021 behob Microsoft einen Privilegien-Eskalationsfehler in Microsoft Defender Antivirus (früher Windows Defender), der Bedrohungsakteuren die Möglichkeit bieten könnte, Administratorrechte auf dem anfälligen Host zu erlangen und vorinstallierte Sicherheitsprodukte zu deaktivieren. SentinelOne-Experten, die das Problem aufdeckten, berichten dass der Fehler bereits 2009 eingeführt wurde und über 12 Jahre unentdeckt blieb. Beschreibung der Windows Defender-Sicherheitslücke […]
MuddyWater APT nutzt ScreenConnect, um Nahost-Regierungen auszuspionieren
Sicherheitsexperten von Anomali haben enthüllt eine gezielte Cyber-Spionage-Operation auf die Regierungen der Vereinigten Arabischen Emirate (VAE) und Kuwaits. Die bösartige Kampagne wurde von einem iranischen staatlich geförderten Akteur namens MuddyWater (Static Kitten, MERCURY, Seedworm) gestartet. Laut den Forschern nutzten die Angreifer das legitime Softwaretool ConnectWise Control (früher ScreenConnect), um sich lateral durch die kompromittierten Netzwerke […]
Oracle WebLogic Server-Schwachstelle (CVE-2021-2109) führt zur vollständigen Übernahme des Servers
Ein Problem mit der Remote-Code-Ausführung von hoher Schwere in der Oracle Fusion Middleware Console ermöglicht eine vollständige Kompromittierung des Oracle WebLogic Servers. New Oracle WebLogic Server Schwachstelle Der Fehler ermöglicht es einem authentifizierten Akteur mit hohen Privilegien, den „JndiBinding“-Handler zu missbrauchen und eine JNDI- (Java Naming and Direction Interface) Injektion auszuführen. Dies wiederum ermöglicht das […]
Neue Zoom-Phishing-Angriffe nutzen Constant Contact, um SEGs zu umgehen
Das herausfordernde Jahr 2020 führte dazu, dass viele Unternehmen ihre Abhängigkeit vom Internet erhöhten und auf Heimarbeit umstellten. Dieser Trend führte zu einem explosionsartigen Anstieg der Nutzung von Videokonferenz-Apps. Cyberkriminelle ließen sich nicht die Chance entgehen, ihre bösartigen Absichten zu verfolgen. Ab dem Frühjahr 2020 registrierten sie viele gefälschte Domains, um bösartige Anzeigen und ausführbare […]
Quasar RAT: Erkennung bösartiger Nachfolger
Quasar Remote Administration Tool (RAT) ist ein multifunktionales und leichtgewichtiges Schadprogramm, das seit 2014 aktiv von APT-Akteuren verwendet wird. Der Quasar-Code ist öffentlich als Open-Source-Projekt verfügbar, wodurch der Trojaner aufgrund seiner breiten Anpassungsmöglichkeiten bei Gegnern äußerst beliebt ist. Infolgedessen gibt es eine Vielzahl von Exemplaren innerhalb der Quasar-Malware-Familie. Viele von ihnen wurden von staatlich unterstützten […]
Erkennung für Sysmon mit dem Threat Detection Marketplace
Bei SOC Prime haben wir uns der Mission verschrieben, den maximalen Wert aus jedem Sicherheitstool zu ziehen und den effektiven Schutz vor aufkommenden Bedrohungen zu ermöglichen. Im August 2020 hat das SIGMA-Projekt das Sysmon-Backend von SOC Prime übernommen. Das Backend generiert Sysmon-Regeln, die einer Sysmon-Konfiguration hinzugefügt werden können, was für jeden revolutionär ist, der „include“ […]
Heap-Pufferüberlauf in Sudo (CVE-2021-3156) ermöglicht Privilegieneskalation auf Linux-Betriebssystemen
Ein kürzlich offengelegtes Sicherheitsproblem in Sudo ermöglicht es nicht authentifizierten Hackern, ihre Rechte auf einem beliebigen Linux-Gerät zu Root-Rechten zu eskalieren. Die Schwachstelle wurde 2011 importiert und blieb fast ein Jahrzehnt lang unentdeckt. Beschreibung der Linux-Sudo-Schwachstelle Sudo ist ein Standarddienst für Systemadministratoren, der in den meisten Unix- und Linux-Umgebungen allgegenwärtig eingesetzt wird. Dieses Dienstprogramm gewährleistet […]
Nordkoreanische Hacker verlassen sich auf soziale Medien, um Sicherheitsforscher ins Visier zu nehmen
Bedrohungsanalysten von Google warnen vor einer aktuellen bösartigen Kampagne, die sich an Schwachstellenforscher und Red Team-Mitglieder richtet. Berichten zufolge steht ein von Nordkorea unterstützter Akteur hinter dieser Operation und nutzt neuartige Methoden des Social Engineering, um individuelle Sicherheitspraktiker über gefälschte Social-Media-Profile anzusprechen. Angriff auf Sicherheitsforscher Der Kampagnenüberblick der Google Threat Analysis Group (TAG) schätzt dass […]
Dark Halo APT steht hinter SolarWinds Hack, Malwarebytes Angriff
Eine neue, hochentwickelte APT-Gruppe, genannt Dark Halo (UNC2452, SolarStrom), ist kürzlich in der Cybersicherheits-Szene aufgetaucht und hat in den letzten Monaten in der Presse für Schlagzeilen gesorgt. Forscher glauben, dass dieser fortgeschrittene Akteur hinter dem historischen SolarWinds-Hack sowie dem Angriff auf den Sicherheitsanbieter Malwarebytes stehen könnte. Wer ist Dark Halo? Sicherheitsexperten von Volexity schätzen dass […]