Aktive Ausnutzung kritischer Qlik Sense-Schwachstellen, Attacke auf Google Chrome, kritische Sicherheitslücke in VMware Cloud Director, Cyberangriff auf Japans Raumfahrtagentur JAXA, Internationale Aktion gegen Ransomware-Gruppe in der Ukraine, Anklage gegen Fake-Shop-Betreiber aus Nordrhein-Westfalen und Geständnis zu Trickbot-Malware
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Wie immer auch auf Youtube und Peertube.
Schwachstellen und Exploits
Aktive Ausnutzung kritischer Qlik Sense-Schwachstellen
Sicherheitsforscher schlagen Alarm vor einer aktuellen Welle der CACTUS-Ransomware, die gezielt Sicherheitslücken in der Anwendung Qlik Sense ausnutzt. Dies stellt den ersten dokumentierten Fall dar, in dem Angreifer Qlik Sense-Schwachstellen als Eintrittspunkt für ihre Attacken verwenden. Im Detail handelt es sich um eine kritische Schwachstelle im HTTP-Request-Tunneling, identifiziert als CVE-2023-41265, mit einem Score von 9,9. Diese ermöglicht einem entfernten Angreifer, seine Rechte zu erhöhen.
Gleichzeitig wird eine Path-Traversal-Schwachstelle, bekannt als CVE-2023-41266 mit einem Score von 6,5, ausgenutzt. Diese erlaubt einem nicht authentifizierten entfernten Angreifer das erfolgreiche Ausführen von nicht autorisierten HTTP-Anfragen. Zusätzlich wird die Schwachstelle CVE-2023-48365 mit einem kritischen Score von 9,9 ausgenutzt, die einem nicht authentifizierten Angreifer Remote-Code-Ausführung aufgrund unsachgemäßer Validierung von HTTP-Headern ermöglicht. Diese Schwachstellen eröffnen den Angreifern die Möglichkeit, über den Qlik Sense Scheduler-Dienst zusätzliche Tools zu laden.
Nach der Ausnutzung dieser Schwachstellen werden bekannte Tools wie ManageEngine UEMS, AnyDesk und Plink verwendet. Die Angriffsketten kulminieren in der Bereitstellung der CACTUS-Ransomware und der Datenexfiltration mittels rclone.
Es ist dringend anzuraten, dass Organisationen, die Qlik Sense nutzen, umgehend die entsprechenden Sicherheitsupdates installieren, um diese kritischen Schwachstellen zu beheben
Aktive Attacke auf Google Chrome: Neue Zero-Day-Lücke entdeckt
Google hat ein Sicherheitsupdate für Chrome veröffentlicht, um sieben Schwachstellen zu beheben, darunter eine aktive Zero-Day-Schwachstelle mit dem Namen CVE-2023-6345. Die 0Day- Schwachstelle in der Grafikbibliothek Skia wurde von der Google Threat Analysis Group entdeckt. Google schreibt, dass für diese Schwachstelle ein Exploit im Netz kursiert.
Das jüngste Update behebt insgesamt sieben Schwachstellen in Chrome. Um sich vor potenziellen Bedrohungen zu schützen, wird allen Nutzern empfohlen, auf die neueste Version (119.0.6045.199/.200) zu aktualisieren. Auch Nutzer von Chromium-basierten Browsern, wie beispielsweise Microsoft Edge, sollten die verfügbaren Updates der jeweiligen Hersteller zeitnah anwenden.
Kritische Sicherheitslücke in VMware Cloud Director
VMware warnt vor einer schweren Sicherheitslücke in der VMware Cloud Director Appliance, mit der Kennung CVE-2023-34060. Die Schwachstelle betrifft Systeme, die von einer älteren Version auf Version 10.5 aktualisiert wurden, und ermöglicht einen kritischen Authentifizierungsbypass auf den Ports 22 und 5480. Der CVSSv3-Basis-Score beträgt dabei maximal 9.8. Neue Installationen sind nicht betroffen.
Zur Behebung empfiehlt VMware ein Upgrade auf Version 10.5.1 oder die Umsetzung der Workarounds in KB95534. Weitere Details und Updates sind auf der offiziellen Website verfügbar. Nutzer werden dringend aufgefordert, die Sicherheitsmaßnahmen zeitnah umzusetzen und die aktuellen Richtlinien zu beachten.
Hacker-Gruppen und Kampagnen
Cyberangriff auf Japans Raumfahrtagentur JAXA
Im Sommer dieses Jahres wurde die Japan Aerospace Exploration Agency (JAXA) Opfer eines Cyberangriffs, der Befürchtungen hervorruft, dass sensible Informationen des japanischen Raumfahrtprogramms gefährdet wurden.
Unbekannte hatten Zugriff auf den Active Directory Server erhalten, welcher die Logins der Mitarbeiter im zentralen Netzwerk verwaltet. Die Polizei entdeckte den Angriff im Herbst und informierte JAXA, die nun in Zusammenarbeit mit der Regierung und der Polizei das Ausmaß des Vorfalls untersucht.
Obwohl bislang kein großer Informationsabfluss bestätigt wurde, bezeichnete ein JAXA-Vertreter die Situation als sehr ernst.
Die Agentur plant eine schnelle Aufklärung und Überprüfung der Netzwerksicherheit. JAXA war bereits in den Jahren 2016 und 2017 Ziel von Cyberangriffen. Die Quelle des letzten Angriffs ist noch unbekannt, es wird aber vermutet, dass der Zugriff auf sensible Informationen Ziel des Angriffs war.
Wirtschaft, Politik und Kultur
Internationale Aktion gegen Ransomware-Gruppe in der Ukraine
In einer beispiellosen internationalen Zusammenarbeit haben Strafverfolgungs- und Justizbehörden aus sieben Ländern gemeinsam mit Europol und Eurojust erfolgreich eine Ransomware-Gruppe in der Ukraine zerschlagen. Die Gruppe war für hochkarätige Angriffe verantwortlich, die zu Verlusten von Hunderten von Millionen Euro führten. Die Aktion fand inmitten des andauernden Kriegs in der Ukraine statt. Am 21. November wurden 30 Anwesen in den Regionen Kyiv, Cherkasy, Rivne und Vinnytsia durchsucht, was zur Festnahme des 32-jährigen Anführers und vier seiner aktiven Komplizen führte. Über 20 Ermittler aus Norwegen, Frankreich, Deutschland und den USA wurden nach Kyiv entsandt, um die ukrainische Polizei zu unterstützen.
Die Verdächtigen sind Teil eines Netzwerks, das für Ransomware-Angriffe in 71 Ländern verantwortlich ist, wobei sie große Unternehmen gezielt ins Visier nehmen. Die Ermittlungen ergaben, dass sie über 250 Server von Großunternehmen verschlüsselt und Verluste in Höhe von mehreren Hundert Millionen Euro verursacht haben. Die internationale Zusammenarbeit begann 2019 auf Initiative der französischen Behörden und wurde trotz der Herausforderungen des Kriegs in der Ukraine fortgesetzt. Europol, Eurojust und verschiedene nationale Behörden spielten eine entscheidende Rolle bei der Koordination und Durchführung der Operation.
Eurojust und Europol spielten Schlüsselrollen in der Koordination, während forensische Analysen zur Identifizierung der Verdächtigen führten. Die Schweizer Behörden entwickelten mit No More Ransom und Bitdefender Entschlüsselungswerkzeuge für bestimmte Ransomware-Varianten.
Anklage gegen Fake-Shop-Betreiber aus Nordrhein-Westfalen
Die Generalstaatsanwaltschaft Bamberg hat Anklage gegen zwei Männer im Alter von 23 und 21 Jahren aus dem Kreis Herford erhoben. Sie werden beschuldigt, zwischen Juni und November 2022 sieben betrügerische Online-Shops betrieben zu haben, auf denen hochwertige Photovoltaik- und Solarmodule angeboten wurden. Kunden zahlten im Voraus, erhielten jedoch nie die bestellten Produkte. Der Gesamtschaden beläuft sich auf rund 401.000 EUR. Die Anklage umfasst 132 Fälle des gewerbsmäßigen Betrugs. Einer der Beschuldigten muss sich zusätzlich wegen des Besitzes kinderpornographischer Inhalte verantworten. Da einer der Männer zur Tatzeit Heranwachsender war, erfolgt die Anklage vor einer Jugendkammer des Landgerichts Bamberg.
Trickbot-Malware: Russischer Hacker gibt Schuld zu
Ein russischer Staatsbürger, Vladimir Dunaev (40, hat seine Schuld in der Entwicklung und Verbreitung der Trickbot-Malware eingeräumt. Trickbot wurde 2022 ausgeschaltet und verursachte weltweit Verluste in zweistelliger Millionenhöhe, insbesondere in amerikanischen Krankenhäusern und Unternehmen.
Dunaev entwickelte bösartige Tools, darunter Modifikationen für Browser, zur Unterstützung von Trickbot. Die Malware stahl Geld und erleichterte die Installation von Ransomware, wodurch Schulen und Unternehmen, darunter Avon Schools und ein Immobilienunternehmen in North Canton, um mehr als 3,4 Millionen US-Dollar betrogen wurden.
Die Zusammenarbeit mit Südkorea ermöglichte Dunaevs Auslieferung in den Northern District of Ohio. Er bekannte sich schuldig und steht vor einer Höchststrafe von 35 Jahren Gefängnis.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!