Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Cybersicherheitsbedrohungen für Unternehmen im August 2023
Die Bedrohungen der Cybersicherheit nehmen rasant zu. Daher müssen sich Unternehmensleiter potenzieller Mängel in ihrer gesamten Cybersicherheitsstrategie stärker bewusst sein. Threat-Hunt-Abfragen, die im Rahmen der SOC-Dienste von Marcum Technology angeboten werden, sind der Schlüssel zur Identifizierung potenzieller Bedrohungen in der Umgebung eines Unternehmens.
Nachfolgend sind die vier größten Bedrohungen aufgeführt, die im letzten Monat aufgetreten sind.
Ransomware-Angriffe stellen für Unternehmen auf der ganzen Welt ein wachsendes Problem dar, sowohl was das Ausmaß als auch die Schwere betrifft. Das Incident Response-Team von Microsoft untersuchte die jüngsten BlackByte 2.0-Ransomware-Angriffe und enthüllte die alarmierende Geschwindigkeit und zerstörerische Natur dieser Cyber-Angriffe. Die Ergebnisse deuten darauf hin, dass Hacker den gesamten Angriffsprozess, vom ersten Zugriff bis zur Verursachung erheblichen Schadens, in nur fünf Tagen durchführen können. Sie infiltrieren schnell Systeme, verschlüsseln wichtige Daten und verlangen ein Lösegeld für deren Freigabe. Dieser verkürzte Zeitrahmen stellt eine erhebliche Herausforderung für Unternehmen dar, die sich gegen diese böswilligen Vorgänge verteidigen möchten.
Die BlackByte-Ransomware wird in der letzten Phase des Angriffs eingesetzt und verwendet einen 8-stelligen Zahlenschlüssel, um Daten zu verschlüsseln. Angreifer nutzen eine wirkungsvolle Kombination aus Tools und Techniken und nutzen ungepatchte Microsoft Exchange-Server aus, um sich Zugriff zu verschaffen und den Grundstein für ihre böswilligen Aktivitäten zu legen. Process Hollowing, Antivirus-Umgehungsstrategien, Web-Shells für den Fernzugriff und Cobalt Strike-Beacons für Command-and-Control-Operationen verbessern ihre Fähigkeiten weiter und machen es für Unternehmen schwieriger, sich dagegen zu verteidigen. Darüber hinaus nutzen Cyberkriminelle „Living-Off-the-Land“-Tools, um ihre Aktivitäten zu verschleiern und einer Entdeckung zu entgehen. Sie modifizieren Volume-Schattenkopien auf infizierten Maschinen, um eine Datenwiederherstellung über Systemwiederherstellungspunkte zu verhindern, und stellen benutzerdefinierte Hintertüren für dauerhaften Zugriff auch nach der ersten Kompromittierung bereit.
Da Ransomware-Angriffe immer häufiger und ausgefeilter werden, können Bedrohungsakteure den Geschäftsbetrieb schnell stören, wenn Unternehmen nicht ausreichend vorbereitet sind. Die Schwere dieser Angriffe erfordert sofortiges Handeln von Organisationen auf der ganzen Welt. Als Reaktion auf diese Erkenntnisse gibt Microsoft praktische Empfehlungen. Es fördert die Implementierung robuster Patch-Management-Verfahren, um kritische Sicherheitsupdates frühzeitig anzuwenden. Die Aktivierung des Manipulationsschutzes ist ebenfalls von entscheidender Bedeutung, da dadurch Sicherheitslösungen gegen böswillige Versuche, sie zu deaktivieren oder zu umgehen, gestärkt werden. Durch die Befolgung von Best Practices wie der Aufrechterhaltung aktueller Systeme und der Einschränkung von Administratorrechten können Unternehmen das Risiko von BlackByte-Ransomware-Angriffen und anderen ähnlichen Bedrohungen erheblich verringern.
In einer kürzlich durchgeführten Kampagne mit dem Titel „Nitrogen“ wurde beobachtet, dass DLL-Sideloading für die C2-Kommunikation genutzt wird. Anstelle des üblichen Phishing-Vektors begann der Angriff mit einem Drive-by-Download von einer kompromittierten WordPress-Website. Die Datei, ein ISO-Image, enthält eine Installationsdatei, die vom Endbenutzer manuell ausgeführt werden muss. Anschließend lädt das Installationsprogramm die Datei msi.dll und entschlüsselt die zugehörige Datendatei. Eine eingebettete Python-Distribution und die DLL werden abgelegt, um im Pfad C:\Users\Public\Music\python des Benutzers seitlich geladen zu werden.
Die Malware erstellt dann eine geplante Aufgabe: „OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003“, die pythonw.exe ausführt. Dies gewährleistet die Persistenz der Malware. Die Aufgabe wird so geplant, dass sie beim Systemstart ausgelöst wird, und läuft am 1. Dezember 2029 um Mitternacht ab.
Wenn die Persistenz etabliert ist, kann die Malware ihre Aufgaben erfüllen. Es wurde beobachtet, dass DLL-Sideloading eingesetzt wird, um eine dauerhafte Verbindung mit C2-Servern aufrechtzuerhalten, und dass sogar komprimierte/codierte Daten abgerufen und dann lokal ausgeführt werden.
Zu einem bestimmten Zeitpunkt wurde Cobalt Strike als ausgewählte Nutzlast beobachtet, und es scheint, dass auch andere implementiert werden könnten. Diese Schadsoftware hat sicherlich das Potenzial, großen Schaden anzurichten, aber bei dieser Kampagne besteht der Trost darin, dass der Benutzer eine Datei, die über einen Drive-by-Download von einer manipulierten Website heruntergeladen wurde, manuell ausführen muss. Dies könnte jedoch immer über Phishing erfolgen, das aufgrund seiner Einfachheit und Wirksamkeit nach wie vor einer der häufigsten Vektoren ist.
Forscher haben herausgefunden, dass Lazarus, eine landesweit finanzierte Gruppe, Webserver des Windows Internet Information Service (IIS) angreift und diese zur Verbreitung von Malware nutzt. Die Gruppe ist dafür bekannt, Watering-Hole-Techniken zu nutzen, um sich einen ersten Zugang zu verschaffen. Wenn ein Scan einen Server mit einer anfälligen Version erkennt, nutzen sie die für die Version geeignete Schwachstelle, um eine WebShell zu installieren, Dateien herunterzuladen oder Befehle auszuführen. Der kürzlich identifizierte Angriff zeigte, dass die Malware-Stämme der Lazarus-Bedrohungsgruppe von w3wp.exe, einem IIS-Webserverprozess, generiert wurden. Die vom w3wp.exe-Prozess generierte Malware ist usopriv.exe, eine mit Themida gepackte JuicyPotato-Malware.
Die Potato-Malware-Stämme sind für die Rechteausweitung verantwortlich. Abhängig von der Methode zur Rechteausweitung werden verschiedene Arten genutzt, darunter JuicyPotato, RottenPotato und SweetPotato. Die Potato-Stämme erweitern ihre Privilegien, indem sie Prozesse missbrauchen, bei denen bestimmte Privilegien aktiviert sind. Anschließend kann der Bedrohungsakteur mithilfe der erhöhten Berechtigung böswillige Aktionen ausführen. Der Befehl whoami wurde verwendet, um zu überprüfen, ob eine Rechteausweitung erreicht wurde. Außerdem wurde ein Protokoll gefunden, aus dem hervorgeht, dass eine Loader-Malware ausgeführt wurde, die für das eigentliche Schadverhalten verantwortlich ist. Der Loader liegt im DLL-Format vor, daher wurde zur Ausführung rundll32 verwendet. Der Loader entschlüsselt den Dateinamen der zu verwendenden Daten und erhält einen String. Dieser String ist der Name der Datendatei, nach der in insgesamt drei Pfaden gesucht wird. Die Loader-Malware entschlüsselt dann verschlüsselte Datendateien und führt sie im Speicherbereich aus.
Es wurde auch beobachtet, dass die Lazarus-Gruppe verschiedene andere Angriffsvektoren für den Erstzugriff nutzte, beispielsweise Schwachstellen in gemeinsamen Zertifikaten und Angriffe auf die 3CX-Lieferkette. Dabei handelt es sich um eine der derzeit gefährlichsten Bedrohungsgruppen, die weltweit äußerst aktiv ist. Sie nutzen kontinuierlich Angriffe auf Sicherheitslücken, um sich Zugang zu ungepatchten Systemen zu verschaffen. Wenn auf einem System nicht die neueste Version eines anfälligen Produkts installiert ist, muss das neueste Update sofort installiert werden.
In der neuesten Update-Runde hat Microsoft zwei Zero-Day-Schwachstellen behoben, nämlich CVE-2023-36884 und CVE-2023-38180. Diese Schwachstellen wurden von Bedrohungsakteuren aktiv ausgenutzt und haben zu schnellen Maßnahmen seitens Microsoft geführt. Das Update dieses Monats umfasst auch Korrekturen für 87 weitere Schwachstellen und unterstreicht, wie wichtig es ist, wachsam gegenüber potenziellen Cyber-Bedrohungen zu bleiben.
CVE-2023-36884, eine Sicherheitslücke zur Remotecodeausführung, wurde vom russischen Bedrohungsakteur Storm-0978/RomCom ausgenutzt. Dieser Fehler ermöglichte es Angreifern, Microsoft Office-Dokumente geschickt zu manipulieren, um Sicherheitsmechanismen wie das Mark of the Web (MoTW) zu umgehen und so Code aus der Ferne auszuführen. Microsoft hat mit einem Office Defense in Depth-Update reagiert, um dieses Risiko zu mindern. Storm-0978/RomCom, das zuvor an der Verbreitung der Ransomware „Industrial Spy“ beteiligt war, hat sich kürzlich in „Underground“ umbenannt und seine Aktivitäten auf die Ransomware-Erpressung ausgeweitet.
Eine weitere besorgniserregende Schwachstelle, CVE-2023-38180, wurde in diesem Update ebenfalls beachtet. Obwohl Microsoft keine konkreten Details zu seiner Ausnutzung oder der Identität des Entdeckers preisgegeben hat, wurde diese Schwachstelle aktiv ausgenutzt und könnte möglicherweise zu DDoS-Angriffen (Distributed Denial of Service) auf .NET-Anwendungen und Visual Studio führen. Bemerkenswert ist, dass dieser Fehler nicht erfordert, dass der Angreifer über Benutzerrechte auf dem Zielsystem verfügt, was ihn zu einem ernsteren Problem macht.
Sicherheitsexperten raten Unternehmen zu schnellem Handeln, indem sie die empfohlenen Sicherheitsmaßnahmen umsetzen und die bereitgestellten Patches anwenden. Diese Updates erinnern an die allgegenwärtigen Cyber-Bedrohungen, die konsequente Anstrengungen erfordern, um Systeme und Daten vor potenziellen Sicherheitsverletzungen zu schützen.
Wenn Sie vor Herausforderungen im Zusammenhang mit Cybersicherheitsbedrohungen, -verstößen und böswilligen Akteuren stehen oder daran interessiert sind, mehr über die Identifizierung potenzieller Bedrohungen für Ihr Unternehmen zu erfahren, wenden Sie sich noch heute an Marcum Technology.