Administration
Die Kaspersky-Experten haben zu Beginn eine neue Aktivitätswelle der Qbot-Malware entdeckt. Sie hat es auf Unternehmensanwender abgesehen und wird über eine schädliche Spam-E-Mail-Kampagne verbreitet. Für ihr Vorhaben nutzen die Cyberkriminellen fortschrittliche Social-Engineering-Techniken: Sie fangen bestehende Mail-Korrespondenzen ab und leiten innerhalb der Konversation schädliche PDF-Anhänge weiter.
Im Überblick
BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren.
Recht und Kosten
Bereits seit März 2021 ermittelt das Bundeskriminalamt (BKA) im Auftrag der Generalstaatsanwaltschaft Frankfurt am Main - Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) gegen Personen, die im Verdacht stehen, schwerste Straftaten im Bereich der Organisierten Kriminalität begangen zu haben.
Eine Forschungsgruppe mit NetScout, Akamai, Cloudflare, Shadowserver, Black Lotus und anderen führenden IT-Sicherheitsgruppen hat gemeinsam einen Warnhinweis herausgegeben. Darin wird ein neuer DDoS-Vektor aufgedeckt, der Unternehmen im Finanzsektor, ISPs, Logistik, Glücksspiel und andere betrifft.
Die Sicherheitsforscher von Check Point Research (CPR) haben eine laufende Spionage-Operation aufgedeckt, die auf die afghanische Regierung zielt. Die Bedrohungsakteure, die einer chinesischsprachigen Gruppierung zugeordnet werden, gaben sich als das Büro des afghanischen Präsidenten aus, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren. Sie nutzten den Dienstleister für Datenaustausch namens Dropbox, um ihre Aktivitäten zu verschleiern. CPR geht davon aus, dass dies der jüngste Fall einer länger andauernden Operation ist, die bis ins Jahr 2014 zurückreicht und der auch die Regierungen von Kirgisistan und Usbekistan zum Opfer gefallen sind. Im April 2021 erhielt ein Beamter des Nationalen Sicherheitsrats Afghanistans eine E-Mail, die angeblich vom Büro des Präsidenten von Afghanistan stammte. Sie forderte den Empfänger auf, die Änderungen in dem Dokument im Zusammenhang mit einer bevorstehenden Pressekonferenz des NSC zu überprüfen.
Es gibt wieder verstärkt Aktivitäten der Dridex-Malware. Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen. "Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense. Die Schadsoftware mit dem Namen "Dridex" ist für G Data kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der "Drucken"-Funktion verbirgt.