Die Weekly Hacker News – 03.04.2023

von | Apr 3, 2023 | News | 0 Kommentare

Trojanerversion des VOIP-Clients 3CX im Umlauf, kritische Sicherheitslücke in WordPress Plugin Elementor Pro, Cyberangriffe auf IT Dienstleister Materna, Nutzfahrzeug-Zulieferer SAF-Holland, Plattform des Entwicklungsministeriums, DRK-Kreisverbände in Deutschland sowie Neue Zürcher Zeitung und Ukrainische Cyberpolizei enttarnt Phishing-Bande.


Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.

Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.

Inhalt laden


Schwachstellen und Exploits

Kompromittierte Version von 3CX Desktop App im Umlauf

Wie aus einer Sicherheitswarnung des Bundesamt für Sicherheit in der Informationstechnik (BSI) hervorgeht, ist eine kompromittierte Version des Voice over IP Telefonie-Clients namens 3CX Desktop App im Umlauf.

Obwohl die Software vom Hersteller signiert wurde, enthält sie schadhafte Elemente, die der Funktion eines Trojaners entsprechen. 3CX stellt ein bereinigtes Release in Aussicht.

Betroffene Produkte sind die Desktop Apps für Windows in den Versionen 18.12.407 und 18.12.416 und für Mac in den Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416.

Das BSI stuft den Angriff als Supply-Chain-Angriff ein. Es ist möglich, dass der Vorfall auch kritische Infrastrukturen trifft und verschiedene Angriffsszenarien wie das Mithören von Gesprächen oder die Ausweitung des Angriffs auf zusätzliche Netzwerkkomponenten ermöglicht.

IT-Sicherheitsverantwortliche sollen überprüfen, welche Version der 3CX Desktop App in der eigenen Organisation verwendet wird und den 3CX Installer bis zur Freigabe eines neuen Releases entfernen. Stattdessen soll vorübergehend die PWA App, also der Web-Client des Herstellers verwenden werden.

Sicherheitsadministratoren sollten auch Überprüfungen durchführen, um eine bereits erfolgte Kompromittierung des Netzwerks auszuschließen.

Kritische Sicherheitslücke in WordPress Plugin Elementor Pro

Eine kritische Sicherheitslücke in dem WordPress Plugin Elementor Pro wird derzeit aktiv ausgenutzt, wie das Unternehmen Patchstack warnt.

Die Schwachstelle erlaubt es einem angemeldeten Benutzer, jede WordPress-Einstellung auf der Seite zu aktualisieren, wenn diese in Kombination mit dem WooCommerce-Plugin läuft.

Ein bösartiger Benutzer könnte beispielsweise die Registrierungsseite aktivieren und die Standardbenutzerrolle auf Administrator setzen, um dann ein Konto zu erstellen, das sofort über Administratorrechte verfügt.

Die Schwachstelle wurde in Version 3.11.7 von Elementor Pro behoben. Nutzer sollten ihr System daher umgehend auf die neueste Version aktualisieren, um eine Ausnutzung zu vermeiden.

Es wird darauf hingewiesen, dass die Schwachstelle bereits aktiv ausgenutzt wird.

Die meisten der Angriffe kommen aktuell von den IP-Adressen 193.169.194.63, 193.169.195.64 und 194.135.30.6.

Hochgeladen werden Dateien mit den Namen „wp-resortpack.zip“, „wp-rate.php“ und „lll.zip“. Die URLs der betroffenen Websites werden zudem auf „away[dot]trackersline[dot]com“ geändert.

Die Details der Angriffe können sich aber natürlich jederzeit ändern.


Hacker-Gruppen und Kampagnen

Cyber-Angriff auf Materna Information & Communications SE

Am Samstag, den 25.03.2023, hat ein professionell ausgearbeiteter Cyber-Angriff auf Netzwerkebene die IT-Beratung Materna SE aus Dortmund getroffen.

Durch den Angriff wurden Systeme im Unternehmensnetzwerk attackiert und kompromittiert. Derzeit sind die Systeme und Dienste aus Sicherheitsgründen vorübergehend eingeschränkt.

Unmittelbar nach dem Vorfall hat das Unternehmen die zuständigen Ermittlungsbehörden sowie die Zentralstelle Cyber-Crime hinzugezogen. Gleichzeitig sind externe und unabhängige Sicherheitsdienstleister damit beschäftigt, die forensische Untersuchung durchzuführen, um die Systeme wiederherzustellen.

Materna hat auch eine Erstmeldung bei der Datenschutzbehörde eingereicht, um im Falle einer Daten Kompromittierung präventiv handeln zu können. Um die Situation zu überwachen und zu kontrollieren, hat das Unternehmen Sofortmaßnahmen, sowie reguläre Maßnahmen zum Schutz der Kundendaten und internen Daten ergriffen.

Mitarbeiter, Kunden und Geschäftspartner werden separat über den aktuellen Sicherheitsvorfall und den Stand informiert.

SAF-HOLLAND SE von Cyberangriff betroffen

Der Nutzfahrzeug-Zulieferer SAF-HOLLAND SE hat bekannt gegeben, dass er Ziel eines Cyberangriffs auf die IT-Systeme geworden ist.

Die Systeme des Unternehmens wurden heruntergefahren sowie vom Internet getrennt. Derzeit arbeitet das Unternehmen daran, die Netzwerkumgebung und die Programme schrittweise wieder in Betrieb zu nehmen und Zwischenlösungen zu implementieren.

Aufgrund der Abschaltung der IT-Systeme wurde die Produktion an einigen Standorten der Gruppe unterbrochen, was voraussichtlich zwischen sieben und vierzehn Tagen dauern könnte.

Der Umfang der Auswirkungen des Cyberangriffs auf den Konzern wird noch geprüft. Das Unternehmen arbeitet eng mit Kunden und Lieferanten zusammen, um die Auswirkungen auf die Lieferketten zu minimieren, und kooperiert mit den Ermittlungsbehörden.

Cyberangriff auf Plattform des Entwicklungsministeriums

Laut einem Bericht des Bayerischen Rundfunks wurde die neue Plattform des Entwicklungsministeriums, die als zentrale Anlaufstelle für den Wiederaufbau in der Ukraine dienen soll, kurz nach ihrer Bekanntmachung Ziel eines Hackerangriffs.

Der Angriff begann am Montag den 27.03.2023 um 14.53 Uhr und dauerte mehrere Stunden, konnte jedoch erfolgreich abgewehrt werden. Das Ministerium hat bisher keine Informationen über die Täter oder ihr Motiv veröffentlicht.

Es wird jedoch erwartet, dass die Sicherheitsmaßnahmen für die Plattform verstärkt werden, um zukünftige Angriffe zu verhindern.

DRK-Kreisverbände in Deutschland von gezieltem Angriff betroffen

Ein gezielter Angriff auf einen Dienstleister des Deutschen Roten Kreuzes (DRK) hat zu einem Ausfall von Webseiten verschiedener Kreisverbände geführt.

Der Onlineauftritt des DRK Kreisverbandes Ulm war zeitweise nicht erreichbar. Glücklicherweise wurden aber keine Daten oder Informationen gestohlen, wie aus dem Statement auf Facebook zu entnehmen ist.

Zeitgleich gab auch DRK Sachsen bekannt, dass weitere Webseiten der Kreisverbände in vielen Teilen Deutschlands und insgesamt 20 Kreisverbände von dem Ausfall betroffen sind.

Das Deutsche Rote Kreuz bittet um Verständnis für eventuelle Unannehmlichkeiten und verspricht, die Öffentlichkeit zu informieren, sobald das Problem gelöst ist.

Ransomewareangriff auf Neue Zürcher Zeitung

Die Neue Zürcher Zeitung wurde Opfer eines Cyberangriffs durch Ransomware, der einige seiner Services und Systeme unzugänglich gemacht hat.

Die Schweizer Tageszeitung des Medienunternehmens NZZ-Mediengruppe erkannte den Angriff jedoch frühzeitig und arbeitet nun gemeinsam mit externen Spezialisten und Experten des Nationalen Zentrums für Cybersicherheit (NCSC) und der Kantonspolizei Zürich an einer Lösung.

Obwohl die NZZ IT alle notwendigen Schritte unternimmt, um den normalen Betrieb so schnell wie möglich wieder aufzunehmen, bittet das Unternehmen um Verständnis für die Unannehmlichkeiten.


Wie wir alleine an den heutigen News wieder sehen, können Cyberangriffe Unternehmen und Personen aus verschiedenen Gründen treffen. In manchen Fällen wollen Cyberkriminelle politische Statements setzen, in anderen Fällen werden Dienstleister der eigentlichen Angriffsziele ins Visier genommen um den Betrieb zu stören oder sich von dort zu den Kundensystemen vorzuarbeiten.

 

Solche Angriffe können eine Vielzahl an Motiven haben, man kann Ihnen aber auch aktiv und erfolgreich entgegenwirken.

 

Wir beraten dich zu den Risiken und den passenden Schutzmaßnahmen für dein Unternehmen, damit du so wenig Angriffsfläche wie möglich bietest.

 

Ruf uns einfach an unter 089 30 78 43 43 oder schreib uns unter kontakt@lastbreach.com


Wirtschaft, Politik und Kultur

Ukrainische Cyberpolizei enttarnt Phishing-Bande

Die ukrainische Cyberpolizei hat gemeinsam mit anderen Strafverfolgungsbehörden eine internationale kriminelle Gruppe enttarnt, die EU-Bürger durch Phishing um 160 Millionen UAH (umgerechnet etwas über 4 Millionen Euro) betrogen hat.

Die Täter nutzten mehr als 100 Phishing-Websites, um an die Bankkartendaten ausländischer Bürger zu gelangen. Nachdem sie sich Zugang zu den Konten verschafft hatten, veruntreuten die Kriminellen das Geld. Mehr als tausend Menschen wurden durch die illegalen Aktionen geschädigt.

Die Mitglieder der Gruppe waren in der Ukraine ansässig und wurden in Zusammenarbeit mit den Strafverfolgungsbehörden der Tschechischen Republik enttarnt. Die Täter richteten außerdem zwei Callcenter ein und beschäftigten Mitarbeiter, die den Betrug durchführten.

Bisher wurden mehr als 1.000 Opfer ermittelt, darunter Bürger aus der Tschechischen Republik, Polen, Frankreich, Spanien, Portugal und anderen europäischen Ländern.

Die Strafverfolgungsbehörden führten mehr als 30 Durchsuchungen in den Wohnungen, Autos und Callcentern der Verdächtigen durch.

Dabei wurden Mobiltelefone, SIM-Karten und Computerausrüstung beschlagnahmt, die für die illegalen Aktivitäten verwendet wurden. Den Tätern drohen bis zu zwölf Jahre Gefängnis und die Beschlagnahme ihrer Vermögen.

Die Ermittlungen sind noch nicht abgeschlossen. Die Verfahrensaufsicht wird von der Generalstaatsanwaltschaft wahrgenommen.


Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!