+43 (1) 812 32 30-0 office@klenner.at
Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung!

Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung!

Microsofts Sicherheitsforscher haben eine große Phishing-Kampagne aufgedeckt. Dabei stehlen Angreifer Session-Cookies, um MFA-Schutzmaßnahmen zu umgehen. Bislang seien über 10.000 Unternehmen auf diese Weise angegriffen worden.

Die aufgedeckte AiTM-Kampagne zielte auf Office-365-Nutzer ab, denen die Angreifer einen Proxy der Online-Office-Landingpage präsentierten.

Die Angreifer machen von sogenannten „Adversary in the Middle“-Phishing-Seiten (AiTM) Gebrauch, um Session-Cookies zu kapern und Anmeldedaten zu stehlen. War das erfolgreich, haben sie Zugriff auf die Postfächer der Opfer und können von dort aus Angriffe gegen weitere Ziele starten.

Der Bereicht ist unter folgendem Link zu lesen:

https://www.heise.de/news/Zahlungsbetrug-Gross-angelegte-Phishing-Kampagne-umgeht-MFA-7179750.html

 

 

Montagmorgen – der perfekte Zeitpunkt, um Ihre Security upzudaten!

Montagmorgen – der perfekte Zeitpunkt, um Ihre Security upzudaten!

Wer mit Trend Micro Maximum Security bis einschließlich Version 17.7.1179 arbeitet, sollte schnell updaten. Aufgrund einer Sicherheitslücke ist es für Angreifer leicht Mountpoints zu manipulieren und sich darüber höhere Nutzerrechte zu verschaffen.

Eine fehlerbereinigte Version steht zum Download bereit, somit gleich als Punkt 1 auf die Tages-Todo-Liste heften. 😊

https://www.heise.de/news/Sicherheitsupdate-Trend-Micro-Maximum-Security-koennte-Angreifer-auf-PCs-lassen-7162687.html?wt_mc=nl.red.security.security-nl.2022-07-07.link.link

Achtung Virenfalle! Phishing-Mails immer perfekter.

Achtung Virenfalle! Phishing-Mails immer perfekter.

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter 

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

 

Euer Klenner.at-Team

Update für Bitdefender Entschlüsselungstool „GandCrab“

Update für Bitdefender Entschlüsselungstool „GandCrab“

Die, in Zusammenarbeit von Bitdefender und einiger Strafverfolgungsbehörden, entwickelte Entschlüsselungssoftware, wurde aktualisiert! Sie wirkt nun den neuesten Versionen von GandCrab entgegen.
Laut Schätzungen konnten dadurch bisher, über 30.000 Opfer vor Lösegeldzahlungen bewahrt werden. Dies entspricht einem Gesamtwert von etwa 50 Millionen US-Dollar.

GandCrab

Die Erpressersoftware arbeitet nach einem „Affiliate-Modell“ bei dem die Entwickler ihre Malware an Interessierte zu Verfügung stellen und im Gegenzug einen Teil des Gewinnes erhalten. Sie ist seit Beginn 2018 aktiv im Einsatz und erreichte bereits im August 2018 einen Ransomware-„Marktanteil“ von über 50 Prozent. Insgesamt konnten laut der Betreiber, bereits mehr als 2 Milliarden US-Dollar erpresst werden.

Neutralisierung durch Entschlüsselungstool

Die bisher entwickelten Decryption-Tools für GandCrab helfen dabei verschlüsselte Daten wiederherzustellen. Dadurch wird die Auszahlung von Lösegeldforderungen überflüssig was wiederum eine deutliche Verschlechterung der Marktposition von GandCrab zur Folge hatte. Kriminelle Partner fürchteten die Gegenmaßnahmen so sehr, dass sie den Betrieb der Malware lieber einstellten. 
„Unsere Anstrengungen, Entschlüsselungstools für die Opfer von GandCrab bereitzustellen, haben die kriminellen Betreiber dahingehend geschwächt, dass sie ihr Geldbeschaffungsmodell aufgaben“, so Bitdefender-Vertreter. „Damit schufen wir bei neuen Opfern ein Vertrauen, so dass sie lieber auf ein Entschlüsselungsupdate warten, als den Lösegeldforderungen von Kriminellen nachzugeben.“

Wie verhindere ich Infektionen?

Um Ransomware-Infektionen zu verhindern, sollten Benutzer eine Sicherheitslösung mit einer mehrschichtigen Anti-Ransomware-Abwehr implementieren und Daten in regelmäßigen Abständen, vollständig sichern. 
Das Entschlüsselungstool für GandCrab ist kostenfrei  auf den Webseiten der Bitdefender Labs oder des No More Ransom Project verfügbar.
Vor allem gilt wie immer: Verdächtige Anhänge keinesfalls öffnen!
Euer Klenner.at-Team

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Einem Experten-Team der Bitdefender-Labs ist es kürzlich gelungen, einen Angriff auf eine osteuropäische Bank zeitlich zu rekonstruieren. Der im Mai 2018 ausgeführte Angriff wird der Carbanak-Bande zugeschrieben und zeigt deutlich die zunehmende Relevanz von Endpoint-Security-Maßnahmen. 

Obwohl die Infiltrierung des Netzwerks schon nach 1,5 Stunden abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur des Systems, um es so auszuspähen und weitere Informationen für einen finalen Angriff sammeln. Eine erfolgreiche Attacke hätte den Kriminellen unbemerkten Zugriff auf das Geldautomatennetzwerk verschafft.

Die Täter

Die Infiltration erfolgte mit einer Spear-Phishing-Kampagne mit der URL swift-fraud[.]com/documents/94563784.doc. Der zusätzliche Einsatz der Cobalt Strike Malware deuten auf die Carbanak-Gruppe hin. Die Carbanak-Bande zählt leider viele Erfolge bei Angriffen auf Finanzinstitutionen. Ihre Strategie ist meist, illegale Transaktionen durchzuführen oder Geldautomateninfrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert werden.

Einge Spear-Phishing-Kampagnen zwischen März und Mai 2018 stattfanden und Carbanak zugeschrieben werden, wurden nun von Sicherheitsforschern analysiert. Die Kampagnen tarnten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch als Cybersicherheitsunternehmen. Durch die Auswertung von Threat Intelligence Feeds und Logfileanalysen, ist es Experten von Bitdefender nun gelungen, den zeitlichen Ablauf des im Mai 2018 stattgefundenen Angriffs, detailliert rekonstruieren zu können. 

Das Angriffsprotokoll

Tag 0: Infiltration 

An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt die Remote Code Execution Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von Microsoft Word. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei smrs.exe (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den Cobalt Strike Beacon herunterlädt. 

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

 

Tag 1-28: Ausspähung 

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird. An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet. 

Tag 30-63: Informationssammlung und Vorbereitung des Diebstahls 

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern. 

Ab Tag 33:

Die  Angreifer beginnen damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der Cobalt Strike Beacon erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.

Tag 63:

Die Angreifer verwischen schließlich ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.  

Was wurde verhindert?

Wäre der Angriff nicht entdeckt worden, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt und wären so in der Lage gewesen, das Auszahlungslimit an Geldautomaten zurückzusetzen. So hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass die Transaktionen, verdächtig an die Bank gemeldet würden.

Infiltrationen per Spear-Phishing-Kampagnen sind leider nicht ungewöhnlich, da es solchen E-Mails meistens gelingt, Sicherheitsmaßnahmen auf Serverebene zu umgehen. Unternehmen können das Risiko einer Infiltration durch den Einsatz von Endpoint-Security-Lösungen minimieren, wenn sie über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen. 

Hier findet ihr sowohl Quelle als auch den Untersuchungsbericht als Download, welcher die zeitliche Abfolge und die einzelnen Schritte der Attacke zusammenfasst. https://labs.bitdefender.com/2019/06/an-apt-blueprint-gaining-new-visibility-into-financial-threats/ 

Euer Klenner.at-Team

Update stopft neue Sicherheitslücke in WhatsApp!

Update stopft neue Sicherheitslücke in WhatsApp!

Die beliebte Instant-Messaging-Plattform Whats App wurde gehackt. Facebook gab eine dringende Empfehlung, sowohl an Android als auch an iOS Nutzer heraus, App und Betriebssystem umgehend upzudaten.

Die kritische Sicherheitslücke (CVE-2019-3568) ermöglicht es, per WhatsApp-Anruf, Spyware auf dem jeweiligen Gerät zu installieren und damit Fernzugriffe von Unbefugten zu ermöglichen. Wichtig: Auch wenn der Anruf nicht angenommen wird, funktioniert der Angriff. Zum Glück gibt es aber bereits einen Reparatur-Patch.

Nähere Informationen zur Sicherheitslücke:

Laut Facebook findet sich die Schwachstelle im VoIP-Stack der App. So wird es potenziellen Angreifern möglich präparierte SRTCP-Pakete an jede beliebige Rufnummer zu senden und damit einen „buffer overflow“ (Speicherfehler) provozieren. Dies ermöglicht es den Schadcode am Zielhandy auszuführen.

Folgende WhatsApp-Versionen sind laut Facebook nicht gefährdet:

  • iOS: v2.19.51
  • Business für iOS: v2.19.51
  • Android: v2.19.134
  • Business für Android: v2.19.44
  • Windows Phone: v2.18.348
  • Tizen: v2.18.15

Menschenrechtsanwalt wurde Opfer

Derzeit steht laut New York Times die israelische Firma NSO unter Verdacht die Spyware programmiert zu haben. Aufmerksam wurde man auf die Sicherheitslücke durch einen betroffenen Anwalt, welcher sich nach einiger verdächtiger Whats-App-Anrufe, an das Citizen Lab der Universität Toronto wandte.

Das Spionage-Opfer war an mehreren Klagen gegen NSO beteiligt. Die Firma wird beschuldigt Spyware verkauft zu haben mit deren Hilfe ein saudischer Dissidenten, ein Katari und einige mexikanische Journalisten angegriffen wurden. Laut eigenen Aussagen, lizenziert NSO ihre Produkte ausschließlich an Regierungen und hat mit der Wahl der Angriffsziele nichts zu tun weiter soll ein firmeninternes Ethikkomitee anhand der Menschenrechtslage des jeweiligen Landes entscheiden ob die Spyware verkauft wird oder nicht.

Um sich erfolgreich zu schützen ist es notwendig die handy eigene Software und WhatsApp selbst, auf den neuesten Stand zu bringen und die Sicherheitslücke dadurch zu schließen.

Oder noch besser: Man steigt um und nutzt ab sofort einen Alternativ-Messenger wie beispielsweise Signal, Telegram oder Threema . :)

Euer Klenner.at Team :)

1