Alle Beiträge von SOC

Gefährlich und besonders heimtückisch: OneDrive E-Mail-Phishing-Kampagnen

Gefährlich und besonders heimtückisch: OneDrive E-Mail-Phishing-Kampagnen

Gefährlich und besonders heimtückisch: OneDrive E-Mail-Phishing-Kampagnen

Vor Kurzem leitete uns ein Kunde eine ungewöhnliche E-Mail zur weiteren Prüfung weiter. Die E-Mail enthielt den Hinweis auf eine geschützte Nachricht, die es erforderte einen Link anzuklicken, um sie zu lesen. Der Link verwies auf eine Adresse von Microsoft: „login.microsoftonline.com“. Die URL stammte tatsächlich von Microsoft und wies ein korrektes Zertifikat auf: „hxxps://login.microsoftonline.com/common/oauth2/authorize?client_id=00000002-0000-0ff1-ce00-000000000000“. Unter der URL wurde ein Fenster angezeigt, in dem Anmeldedaten eingegeben werden konnten. Soweit so gut. Für einen Benutzer ohne Security-Hintergrund war also erst einmal keine Bedrohung in Sicht.

Nach einer eingehenden Analyse zeigte sich jedoch, dass es sich um eine schädliche URL handelte. Doch wie ist es möglich, durch das Klicken auf eine Microsoft URL auf eine schädliche Website zu gelangen? – Der Grund ist eine von Hackern hinterlegte Umleitung. In diesem Fall erfolgte die Umleitung auf

die URL „hxxps://42781.z13.web.core.windows.net“, die eine scheinbar sichere und vertrauenswürdige HTTPS-Verbindung aufbaute. Dahinter verbarg sich jedoch ein Azure Blog Storage, der in der Vergangenheit bereits häufiger für Spam und Phishing-Kampagnen missbraucht wurde.

Die Angreifer hatten scheinbar eine „Enterprise App“ oder App Registration auf https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps als Besitzer einer Azure Subscription eingerichtet. Dies ermöglichte es ihnen, die „AppID“ auszulesen und unter „Authentication“ die Option „Implicit Grant“ zu aktivieren. Dies ermöglichte die Umleitung. Unter dem Punkt „Logins“ der Rubrik „Monitoring“ konnten schließlich die entsprechenden Anmeldungen an der App eingesehen werden.

Die App kann durch Angabe eines „response_type“ schließlich so eingerichtet werden, dass die Zielseite Informationen über den Anwender oder ein OAUTH-Token empfängt. Über die Funktion „HTTP-Redirect“ kann dann von einer vertrauenswürdigen Domäne wie login.microsoftonline.com auf eine schädliche Webseite weitergeleitet werden, die anschließend z. B. eine OneDrive-Seite fälscht.

Quellen:

https://docs.microsoft.com/en-us/azure/storage/blobs/storage-custom-domain-name?tabs=azure-portal

https://www.zscaler.com/blogs/security-research/abusing-microsofts-azure-domains-host-phishing-attacks

Unsere Handlungsempfehlungen:

– Jede E-Mail, die in Ihrem Posteingang erscheint, sollte überprüft werden, egal von welchem Absender sie stammt: Überprüfen Sie nicht nur den Namen, sondern auch die E-Mail-Adresse. Bewegen Sie den Mauszeiger über alle Links (nicht klicken). So wird Ihnen das Linkziel angezeigt. Sollten diese Schritte nicht ausreichen, kontaktieren Sie den Absender telefonisch, um zu prüfen, ob er Ihnen diese Nachricht tatsächlich gesendet hat.

– Mit der Multi-Faktor-Authentifizierung (MFA) können Sie den Zugriff auf Anwendungen und die darin enthaltenen Informationen und Daten mithilfe einiger vordefinierter Komponenten sichern z. B. Einrichtung von Authenticator-Apps. Ziel ist es, nur denjenigen Zugriff zu gewähren, die ihn wirklich benötigen.

– Halten Sie Ihre Betriebssysteme und sämtliche Anwendungen immer auf dem neuesten Stand.

– Bieten Sie Ihren Mitarbeitern Awareness-Schulungen an, um sie im Umgang mit E-Mails und dubiosen Links zu sensibilisieren.

Microsoft Teams-Nutzer im Visier von Hackern

Microsoft Teams-Nutzer im Visier von Hackern

Microsoft Teams-Nutzer im Visier von Hackern

Spätestens seit Beginn der Corona-Pandemie nutzt ein Großteil der Unternehmen Collaboration-Tools zur internen und externen Kommunikation. „Microsoft Teams“ ist in Deutschland dabei eines der beliebtesten. Mit gegenwärtig rund 270 Millionen monatlichen Nutzern ist es jedoch auch ein lukratives Ziel für Cybergangriffe.

Forscher von Avanan haben seit Januar tausende Angriffe auf Microsoft Teams-Konten aufgedeckt. Dabei ist es das Hauptziel von Cyberkriminellen, schädliche Dateien an Konversationen anzuhängen, um sie an möglichst viele User zu verteilen. Doch wie gelingt ihnen das und wie gehen sie vor? – Im folgenden Beitrag möchten wir gerne näher darauf eingehen und Ihnen die Hintergründe erläutern.

Wie verschaffen sich Hacker Zugänge zu Teams-Konten?

Hacker verschaffen sich Zugang zu Teams-Konten, indem sie einen Benutzer mithilfe von East-West-Angriffen über schadhafte E-Mails oder mit Anmeldedaten, die sie bei anderen Phishing-Angriffen gesammelt haben, täuschen. Sie melden sich mit den erbeuteten Anmeldedaten bei den entsprechenden Konten an und fügen eine ausführbare Datei namens "User Centric.exe" in einen Chat ein, um die Teilnehmer zum Öffnen der Datei zu verleiten. Wenn der Code ausgeführt wird, installiert dieser in der Folge DLL-Dateien und erstellt Verknüpfungen, um sich selbst zu verwalten.

Was sind East-West-Angriffe?

Wenn Cyberkriminelle zunächst einen Einstiegspunkt im Rechenzentrum lokalisieren und ihn dann als Stützpunkt nutzen, um seitliche Angriffe auf die internen Server zu starten bzw. um im gesamten Unternehmen seitlich von Server zu Server zu wechseln, wird von East-West-Angriffen bzw. Lateral Movement gesprochen.

Welche Angriffsziele gibt es?

Angreifer könnten eine Partnerorganisation ins Visier nehmen und die Chats zwischen den Organisationen abhören. Zudem könnten sie auf Teams und andere Office-Anwendungen zugreifen und Informationen über installierte Verteidigungslösungen finden. Auf diese Weise können sie geeignete Malware auswählen, mit der sie diese Schutzmaßnahmen umgehen können. Möglich machen es Office 365-Anmeldedaten, die bei früheren Angriffen gestohlen wurden.

 

Quellen:

https://cyware.com/

https://www.avanan.com/

 

Unsere Handlungsempfehlungen:

- Verwenden Sie eine mehrstufige Authentifizierung mit einem starken zweiten Faktor.

- Ändern Sie Ihre Zugangsdaten regelmäßig und verwenden Sie unterschiedliche sowie komplexere Passwörter für verschiedene Konten und Anwendungen.

- Sensibilisieren Sie Ihre Mitarbeiter im Umgang mit Phishing-E-Mails, indem Sie ihnen Awareness-Schulungen anbieten.

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

-Mitarbeiter sollten sich an die IT-Abteilung wenden, wenn sie eine verdächtige Datei entdecken.

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Hybride Kriegsführung im Cyberraum stellt uns vor neue Herausforderungen

Seit dem 24. Februar 2022 beobachten wir mit Sorge den von Russland begonnenen völkerrechtswidrigen Angriffskrieg gegen die Ukraine.  In diesem Zusammenhang wächst auch die Angst vor Cyberangriffen. Im folgenden Artikel möchten wir unsere Erkenntnisse darstellen, inwieweit dieser Krieg im Cyberraum geführt wird und welche Auswirkungen auf die Cyberbedrohungslage zu erwarten sind.

Doch zunächst zur Zeit vor dem Angriff auf die Ukraine: Bereits vor Beginn der russischen Invasion gab es eine Flut von Data Wiper- und Distributed-Denial-of-Service (DDoS)-Angriffen gegen ukrainische Regierungsbehörden sowie kritische Infrastrukturen und Nachrichtenagenturen. Die Data Wiper Malware zielte dabei darauf ab, große Datenmengen unbemerkt zu zerstören. Bei DDoS-Angriffen wurden Server mit illegitimen Anfragen überflutet, sodass Infrastrukturen überlastet wurden und abstürzten.

Laut Computer Emergency Response Team (CERT-UA) der Ukraine wurden Phishing-Kampagnen vonseiten weißrussischer, staatlich gesponserter Hacker beobachtet, die auf das ukrainische Militärpersonal und damit verbundene Personen abzielten. Im Fokus standen dabei die E-Mailkonten. „Nachdem das Konto kompromittiert wurde, erhalten die Angreifer über das IMAP-Protokoll Zugriff auf alle Nachrichten.“[1] Anschließend nutzten die Angreifer die im Adressbuch des Opfers gespeicherten Kontaktinformationen, um die Phishing-Nachrichten an andere Ziele zu verbreiten. (https://cert.gov.ua/articles) Somit nutzt Russland den Cyberspace ganz klar für hybride Kriegsführung. Dazu gehört offenbar nicht nur der Angriff auf kritische IT-Infrastrukturen, sondern auch die gezielte Verbreitung falscher Informationen durch Russland.

Auch Russland selbst ist Ziel von Angriffen: Russlands National Coordination Center for Computer Incidents (NCCCI) veröffentlichte Anfang März eine umfangreiche Liste mit 17.576 IPs und 166 Domains, die die russische Infrastruktur mit DDoS-Angriffen angreifen. Als Teil ihrer Empfehlungen zur Abwehr von DDoS-Angriffen fordert die Agentur (NCCCI) russische Organisationen auf, Netzwerkgeräte abzuschirmen, die Protokollierung zu aktivieren, Passwörter für wichtige Infrastrukturelemente zu ändern, automatische Software-Updates zu deaktivieren, Plugins von Drittanbietern auf Websites zu deaktivieren, Datensicherungen durchzusetzen und auf Phishing-Angriffe zu achten.

Der aktuelle Bodenkrieg wird also durch eine Flut von Cyberangriffen im digitalen Bereich ergänzt. Hacktivistengruppen und andere Bürgerwehrakteure unterstützen die beiden Länder dabei, Websites von Regierungen und kommerziellen Einrichtungen anzugreifen und Fundgruben personenbezogener Daten preiszugeben.

Die Auswirkungen des Krieges haben laut Reuters die ukrainische Regierung dazu veranlasst, eine freiwillige „IT-Armee“ von zivilen Hackern aus der ganzen Welt zu bilden, um an der Cyber-Front operative Aufgaben gegen Russland durchzuführen. Es wurde von dieser „IT-Armee“ eine neue Reihe von Zielen aufgestellt, darunter das belarussische Eisenbahnnetz, Russlands eigenes satellitengestütztes globales Navigationssystem GLONASS und Telekommunikationsbetreiber. (https://www.dw.com/en/russia-ukraine-conflict-what-role-do-cyberattacks-play/a-60945572)

Unterstützung bekommt die Ukraine auch von Anonymous, dem international organisierten Hacker-Kollektiv, das dem Kreml den digitalen Krieg erklärt hat. Zahlreiche Websites der russischen Regierung waren bis zum 26. Februar nicht zugänglich, was vermutlich Anonymous-Aktivisten verursacht haben. Auch die Website des russischen Regierungssenders RT, die in westlichen Ländern als Propagandainstrument des Kremls gilt, war von Cyberangriffen der Vergeltung betroffen. (thehackernews.com)

Bedeutung für deutsche Unternehmen

Doch was bedeutet das für deutsche Unternehmen? - Durch die Teilnahme an Sanktionen gegen Russland könnte auch Deutschland zunehmend Ziel von Hackerangriffen werden, so SPD-Innenministerin Nancy Faeser. Man habe „die Schutzmaßnahmen zur Abwehr etwaiger Cyberattacken hochgefahren und relevante Stellen sensibilisiert.“ (https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2022/02/ukraine.html)

Auch die deutsche Rosneft-Tochtergesellschaft, Russlands größter Ölproduzent, ist nicht von Hackern im Zusammenhang mit dem Ukraine-Konflikt verschont geblieben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte, dass die Rosneft Deutschland GmbH am Wochenende im Rahmen seiner KRITIS-Meldepflichten einen IT-Sicherheitsvorfall meldete. Die Hackergruppe Anonymous hat die Verantwortung für den Cyberangriff auf die deutsche Niederlassung des russischen Energiekonzerns übernommen, der nach eigenen Angaben großen Schaden angerichtet hat. Angeblich wurden 20 Terabyte Daten abgegriffen und die Inhalte auf dutzenden Geräte gelöscht. Die Hacker hinter diesem Angriff, die sich Teil des Anonymous-Kollektivs sehen, stammen scheinbar aus Deutschland. Damit könnte Russland diesen Hackerangriff als Kriegsakt interpretieren und deutsche Unternehmen stärker ins Visier nehmen.

Das BSI warnt zudem gemäß § 7 BSI-Gesetz vor dem Einsatz von Antiviren-Schutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Virenschutz-Software-Portfolio von Kaspersky durch alternative Produkte zu ersetzen. Hintergrund: Ein russischer IT-Hersteller könnte von der russischen Regierung gezwungen werden, selbst offensive Operationen durchzuführen und Zielsysteme gegen seinen Willen anzugreifen. Eine weitere Gefahr besteht darin, selbst als Opfer einer Cyber-Operation ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht zu werden. (Weitere Informationen unter: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html)

Somit könnten auch wir in Deutschland in Zukunft mit großen Cyber-Angriffswellen konfrontiert werden, da im Cyberraum die Grenzen nicht eindeutig zu erkennen sind. Daher beobachten wir in unserer Leitstelle die aktuellen Geschehnisse mit erhöhter Wachsamkeit und bereiten uns auf den Ernstfall vor.

Deutsche Unternehmen gelten in Sachen Cybersicherheit als verletzlich, wie mehrere Angriffe im vergangenen Jahr gezeigt haben: Der IT-Branchenverband Bitkom schätzt den jährlichen Gesamtschaden durch digitalen Diebstahl, Erpressung und Sabotage auf 223 Milliarden Euro. Experten kritisieren, dass immer noch sehr wenig in die Cybersicherheit investiert wird[2]

Vor allem unseren Kunden aus dem Bereich der kritischen Infrastrukturen bereiten die aktuellen Entwicklungen Sorge. Sie befürchten demnächst selbst Angriffen zum Opfer fallen zu könnten. Auch wir haben darum in unserer Leitstelle die Schutzmaßnahmen erhöht und auf unseren Kunden-Sensoren neue Sicherheitsmechanismen und Use-Cases ausgerollt, die Traffic zu Systemen von bestimmten IP-Bereichen, die in Verbindung mit den aktuellen Cyberattacken aus Russland stehen, detektieren.

Unsere Handlungsempfehlungen:

- Software-Updates auffahren

- Mitarbeiter sensibilisieren z. B. durch Awareness Schulungen

- IT-Administratoren optimal unterstützen

- Systeme härten

- Multi-Faktor-Authentifizierung aktivieren

- Funktionale Backups erstellen und auch offline ablegen

- Notfallpläne üben

- Alle aktuellen Hinweise der deutschen Sicherheitsbehörden eng verfolgen.

-Es wird empfohlen, Antiviren-Schutzsoftware von deutschen Herstellern zu verwenden.

 

 

[1] Facebook-Seite der CERT-UA. 25. Februar um 12:09:

https://www.facebook.com/UACERT/posts/312939130865352

[2] https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Certified Security Operations Center GmbH veröffentlicht Cybersicherheits-Report 2021

Der Cybersicherheits-Report zeigt relevante Angriffsszenarien des vergangenen Jahres auf und bietet Expertentipps für eine sichere IT-Infrastruktur im Firmenumfeld.

Bornheim, März 2022. Im Jahr 2021 stieg die Zahl der Hackerangriffe sowie deren Qualität und die damit verbundenen, teils schwerwiegenden, Folgen für betroffene Unternehmen auf ein Rekordniveau an. Im Vergleich zum Vorjahr konnte ein quantitativer Anstieg von 33 Prozent verzeichnet werden, wie dem kürzlich durch die Certified Security Operations Center GmbH veröffentlichten Cybersicherheits-Report 2021 zu entnehmen ist. Dieser umfassende Report bietet Interessierten einen detaillierten Einblick in die vielfältigen und teils neuartigen Angriffsmethoden, indem er auf ausgewählte, besonders relevante Angriffsszenarien des vergangenen Jahres eingeht und Unternehmen jeweils präzise Handlungsempfehlungen für jedes Szenario an die Hand gibt. „Cyberkriminelle werden immer kreativer. Indem wir die unterschiedlichen Möglichkeiten der Angreifer zeigen, in ein System einzudringen, möchten wir ein Bewusstsein für die Dringlichkeit eines ganzheitlichen IT-Sicherheitskonzepts in Unternehmen schaffen“, so Stefan Möller, Geschäftsführer der Certified Security Operations Center GmbH. „Es handelt sich hier nicht um konstruierte Fallbeispiele, sondern ausschließlich um reale Vorfälle, an denen wir beispielhaft aufzeigen möchten, wie auf einen solchen Angriff reagiert werden sollte und welche Folgen für Unternehmen entstehen können.“

Dabei zielt der Cybersicherheits-Report 2021 nicht darauf ab, möglichst spektakuläre Fälle darzustellen, sondern die weite Range der Angriffsszenarien zu demonstrieren. Um dies zu unterstreichen und um als Leser das Ausmaß der Angriffe besser einschätzen zu können, beurteilen die Experten der Certified Security Operations Center GmbH den Schweregrad (Impact) eines jeden Falls auf einer Skala von 1.0–10.0. So finden sich neben der zu Jahresende detektierten Java-Sicherheitslücke „Log4Shell“ und den Angriffen der chinesischen Hackergruppe Hafnium, beides mit dem maximalen Impact von 1.0 bewertet, auch Methoden wie CryptoJacking oder Domain-Spoofing, welche einen niedrigen Impact vorweisen, aber dennoch im vergangenen Jahr auf dem Vormarsch waren.

Aus vergangenen Vorfällen für die Zukunft lernen

Um Unternehmen neben einer detaillierten Übersicht der Ereignisse aus 2021 einen weiteren Mehrwert zu bieten, beinhaltet der Cybersicherheits-Report zusätzlich einen Blick in die Zukunft. Die Security-Experten geben dabei eine kompetente Einschätzung der weiteren Entwicklung der Cybersicherheitslage und geben Tipps für eine sichere Infrastruktur in den kommenden Jahren. Joerg Lammerich, Geschäftsführer der Certified Security Operations Center GmbH erklärt: „Da sich die Angreifer und ihre Methoden rasant weiterentwickeln, heißt es für uns, Schritt zu halten und den Blick nach vorn zu richten. Unser Security Operations Center (SOC) wird, auch mithilfe des Feedbacks unserer Kunden, stetig verbessert und auf dem neuesten Stand gehalten, um auch in Zukunft möglichst viele Angriffe zu erkennen und gravierende Folgen zu vermeiden. Gemeinsam mit den Unternehmen vorzusorgen ist eines unserer wichtigsten Ziele und genau hierfür möchten wir in diesem Report praktische Tipps geben.“

Den Cybersicherheits-Report 2021 ist ab sofort erhältlich unter: https://www.csoc.de/cybersicherheitsreport-2021/

 

 

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Hacker nutzen Windows Update-Dienst für Malware-Verbreitung

Die berüchtigte Lazarus-Gruppe mit Sitz in Nordkorea, die bei MITRE ATT&CK als APT38 bekannt ist, führt aktuell eine neue Kampagne durch, um den Windows Update-Dienst zur Ausführung bösartiger Payload zu nutzen. Dies ist eine Erweiterung des Arsenals an LotL-Techniken (living-off-the-land), die die APT-Gruppe zur Erreichung ihrer Ziele einsetzt.

Im Rahmen des jüngsten Spear-Phishing-Angriffs, der am 18. Januar 2022 von https://de.malwarebytes.com/ entdeckt wurde, gab sich die Lazarus-Gruppe als das US-Sicherheits- und Raumfahrtunternehmen Lockheed Martin aus und benutzte zwei mit Code geladene Dokumente (Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc) mit berufsbezogenem Kontext als Köder.

Beim Öffnen der Datei mit Microsoft Word wird ein in das Dokument eingebettetes Makro ausgeführt, das Base64-decodierten Shellcode ausführt und eine Reihe von Malware-Komponenten in den explorer.exe-Prozess injiziert. Der nächste Schritt besteht darin, die Datei zu laden.

In der zweiten Phase verwendet eine der geladenen Binärdateien, "drops_lnk.dll", den Windows Update-Client ("wuauclt.exe") - der als defensive Umgehungstechnik verwendet wird, um bösartige Aktivitäten mit legitimer Windows-Software zu vermischen - um einen Befehl zum Laden eines zweiten Moduls namens "wuaueng.dll" im Windows/System32-Verzeichnis auszuführen.

Mit dieser Technik kann ein Angreifer die Sicherheitserkennungsmechanismen umgehen und schadhafte DLLs oder Code über den Windows Update-Client ausführen.

"wuaueng.dll" wird verwendet, um eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen. Dabei handelt sich um ein GitHub-Repository, das als PNG-Bilddateien getarnte bösartige Module hostet.

Unser Blue-Team erkennt solche Angriffsszenarien über die eingestelle Sysmon-Regel ‚Suspicious Process - explorer.exe‘ frühzeitig und kommuniziert diese unverzüglich an die betroffenen Kunden.

Quelle: https://thehackernews.com/

Unsere Maßnahmenempfehlungen

- Öffnen Sie keine Dateien oder Links, die an verdächtige E-Mails angehängt sind, da diese möglicherweise Malware enthalten.

- Rufen Sie dubiose Links oder gekürzte URLs nicht auf und prüfen Sie im Zweifelsfall mithilfe der Google-Suchmaschine bzw. anhand der Beschreibung auf der Ergebnisseite, ob die Website seriös ist.

- Verschieben Sie verdächtige E-Mails in Ihren Junk- oder Spam-Ordner oder löschen Sie diese dauerhaft.

- Die Ausführung von Makros sollte grundsätzlich nur mit festgelegten digitalen Signaturen erlaubt werden.

- Bieten Sie Mitarbeiter:innen regelmäßige Security Awareness Schulungen an, um sie im Umgang mit E-Mails zu sensibilisieren.

-Stellen Sie sicher, dass Betriebssystem-, Software- und Firmware-Patches installiert sind.