Exploit Kits: "Pawn Storm" macht Schule neuer Zero-Day-Exploit für Adobe Flash im Umlauf
Die Exploit Kits "Angler" und "Nuclear" verwenden seit dem 28. Oktober den Flash-Zero-Day-Exploit aus der "Operation Bauernsturm" und nutzen eine weitere Flash-Sicherheitslücke aus
(02.12.15) - Die Cyberspione hinter "Pawn Storm" dienen vielen Online-Kriminellen offenbar als Vorbild. So fanden Trend Micro-Forscher in den Exploit Kits "Angler" und "Nuclear" jüngst den Exploit, mit dem die Hintermänner der Operation Bauernsturm die Sicherheitslücke in den Adobe-Flash-Versionen 19.0.0.185 und 19.0.0.207 ausnutzen. Außerdem sind die Forscher auf einen neuen Zero-Day-Exploit gestoßen, der auf eine Sicherheitslücke in Adobe Flash bis zu der Version 18.0.0.232 zugeschnitten ist. Für diese neu entdeckte Lücke wird gerade eine CVE-Nummer erstellt.
Beide Exploits verbergen ihren Netzwerkverkehr und umgehen Sicherheitsprodukte, indem sie die Analyse des Schlüsselaustauschs zwischen dem infizierten System und den Befehls- und Kontrollservern auf Basis des Diffie-Hellman-Protokolls erschweren.
Haben sich die Exploits erfolgreich auf den Rechnern der Opfer eingenistet, laden sie verschiedene Schädlinge herunter, darunter Erpressersoftware wie CryptoWall, Hintertürschädlinge wie ROVNIX oder Datendiebe wie KASIDET. (Trend Micro: ra)
Trend Micro: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Hintergrund
BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren.
Infoblox hat Einzelheiten über Savvy Seahorse in einem neuen Threat Intel Report veröffentlicht. Savvy Seahorse ist ein DNS-Bedrohungsakteur, der seine Opfer dazu bringt, ihr Geld auf gefälschten Investmentplattformen anzulegen, indem sie sich als bekannte Firmen wie Tesla, Meta oder Imperial Oil tarnten. Um dies zu erreichen, nutzte die Gruppe fortgeschrittene Techniken, wie Fake-Chatbots, Meta Pixel Tracking oder die missbräuchliche Nutzung der Domains verschiedener Zahlungsdienstleister.
Cyberkriminelle werden in 2024 verstärkt mit opportunistischer Ransomware und koordinierten Manövern Unternehmen attackieren: Einen Hinweis für die Gültigkeit dieses Trends liefert die in einer aktuellen forensischen Analyse von den Bitdefender Labs untersuchte Attacke auf zwei Unternehmen einer Unternehmensgruppe durch die Ransomware-Bande CACTUS.
Hewlett-Packard (HP) stellt die Ergebnisse ihres neuen, vierteljährlich erscheinenden "HP Wolf Security Threat Insights Report" vor. Dabei zeigte sich, dass Cyber-Kriminelle weiterhin innovative Wege finden, um Endgeräte zu infizieren. Das HP Wolf Security Threat Research-Team deckte eine Reihe interessanter Kampagnen auf, darunter: Die DarkGate-Kampagne nutzt Werbe-Tools, um Angriffe zu verstärken: Bösartige PDF-Anhänge, die sich als OneDrive-Fehlermeldungen ausgeben, leiten Benutzer und gesponserten Inhalten weiter. Diese Seiten werden in einem beliebten Werbenetzwerk gehostet und führen zu DarkGate-Malware. Durch die Nutzung von Anzeigendiensten können Bedrohungsakteure analysieren, welche Köder Klicks generieren, und die meisten Benutzer infizieren. Damit sind sie in der Lage, ihre Kampagnen für eine maximale Wirkung zu verfeinern.