Groß angelegte Phishing-Kampagne
Neue Zero-Day-Sicherheitslücke im Adobe Flash Player
Phishing-Kampagne "Operation Clandestine Wolf"
FireEye, Spezialistin für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, hat in eine neue Zero-Day-Sicherheitslücke im Adobe Flash Player identifiziert. Die Sicherheitslücke CVE-2015-3113 wurde vom in Singapur ansässigen FireEye as a Service-Team entdeckt. Die E-Mails der Angreifer beinhalteten Links zu kompromittierten Servern, die zu einer schädlichen Adobe Flash Player-Datei führen. Die schädliche Datei nutzt die nun entdeckte Sicherheitslücke aus.
Adobe hat im jüngsten Adobe Security Bulletin mit einem Patch für CVE-2015-3113 reagiert. FireEye empfiehlt allen Nutzern, den Adobe Flash Player so schnell wie möglich auf die neueste Version zu aktualisieren.
Ursprung
Als Ursprung dieser Sicherheitslücke konnte die Gruppierung APT3 – auch bekannt unter UPS – identifiziert werden. Die aus China stammende Gruppierung nutzte bereits im vergangenen Jahr Sicherheitslücken im Internet Explorer aus, wie FireEye in einem Blog-Beitrag zu "Operation Clandestine Fox" berichtete. APT3 war eine der ersten Gruppierungen, die Zugriff auf diverse Browser-basierte Zero-Day-Exploits hatte. Ihre Command-and-Control-Infrastruktur ist schwer nachzuverfolgen, da sich ihre Kampagnen nur selten überschneiden.
Aktivitäten und Vorgehen
In den letzten Wochen lancierte APT3 eine groß angelegte Phishing-Kampagne gegen Unternehmen aus Luft- und Raumfahrt, Rüstung, Ingenieurswesen, Technologie, Telekommunikation und Logistik. FireEye nennt diese "Operation Clandestine Wolf".
Durch das Öffnen eines Links in der Phishing-E-Mail wurden Empfänger auf einen kompromittierten Server weitergeleitet, von dem sie eine schädliche Adobe Flash Player-SWF-Dateien und eine FLV-Datei herunterluden. Die von den Angreifern verwendete Backdoor namens SHOTPUT wurde von FireEye als Backdoor.APT.CookieCutter in betroffenen Systemen identifiziert.
"Erlangt eine Gruppierung wie APT3 einmal Zugriff auf das angegriffene Netzwerk, arbeiten die Angreifer schnell und unauffällig. Die beobachtete Gruppierung nutzt Zero-Day-Exploits, kontinuierlich aktualisierte Backdoors und unterschiedliche Command-and-Control-Infrastrukturen, um ihre Kampagnen möglichst lange unbemerkt fortsetzen zu können", sagt Martin Zeitler, Senior Manager Systems Engineering Central Europe bei FireEye. "Angriffsmethoden wie diese machen Zero-Day-Sicherheitslücken enorm gefährlich." (FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden