Tageszusammenfassung - 08.04.2021

End-of-Day report

Timeframe: Mittwoch 07-04-2021 18:00 - Donnerstag 08-04-2021 18:00 Handler: Dimitri Robl Co-Handler: Stephan Richter

News

Warnung vor täuschend echtem Fake-Shop, der PS5 verkauft

Der Online-Store scheint auf den ersten Blick seriös. Dahinter verstecken sich aber Betrüger.

https://futurezone.at/games/warnung-vor-taeuschend-echtem-fake-shop-der-ps5-verkauft/401344703


Hackerangriffe auf Logistikunternehmen

ESET hat herausgefunden, dass die Lazarus-Gruppe Logistikunternehmen gezielt angreift. Das ist heikel, denn Ausfälle in der weltweiten Frachtlogistik können gravierende Folgen haben.

https://www.zdnet.de/88394254/hackerangriffe-auf-logistikunternehmen/


How to Know If You Are Under DDoS Attack

Nowadays, the term DDoS probably raises the heart rate of most webmasters. Though many don-t know exactly what a DDoS attack is, they do know the effect: an extremely sluggish or shut-down website. In this article, we-ll focus on how to know if your website is under attack and how to protect it.

https://blog.sucuri.net/2021/04/how-to-know-if-you-are-under-a-ddos-attack.html


[SANS ISC] Simple Powershell Ransomware Creating a 7Z Archive of your Files

I published the following diary on isc.sans.edu: -Simple Powershell Ransomware Creating a 7Z Archive of your Files-: If some ransomware families are based on PE files with complex features, it-s easy to write quick-and-dirty ransomware in other languages like Powershell. I found this sample while hunting. I-m pretty confident that this [...]

https://blog.rootshell.be/2021/04/08/sans-isc-simple-powershell-ransomware-creating-a-7z-archive-of-your-files/


Vulnerability in Fortigate VPN servers is exploited in Cring ransomware attacks

In Q1 2021, threat actors conducted a series of attacks using the Cring ransomware. These attacks were mentioned in a Swisscom CSIRT tweet, but it remained unclear how the ransomware infects an organization's network. An incident investigation conducted by Kaspersky ICS CERT experts at one of the attacked enterprises revealed that attacks of the Cring ransomware exploit a vulnerability in Fortigate VPN servers.

https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/


Update on git.php.net incident

Hi everyone, I would like to provide an update regarding the git.php.net security incident. To briefly summarize the most important information: - We no longer believe the git.php.net server has been compromised. However, it is possible that the master.php.net user database leaked. - master.php.net has been migrated to a new system main.php.net. - All php.net passwords have been reset. Go to https://main.php.net/forgot.php to set a new password. - git.php.net and svn.php.net are both read-only now, but will remain available for the time being. The following is a more detailed explanation of what happened and which actions were taken.

https://externals.io/message/113981


Office 365 phishing campaign uses publicly hosted JavaScript code

A new phishing campaign targeting Office 365 users cleverly tries to bypass email security protections by combining chunks of HTML code delivered via publicly hosted JavaScript code. The phishing email and page The subject of the phishing email says "price revision" and it contains no body - just an attachment (hercus-Investment 547183-xlsx.Html) that, at first glance, looks like an Excel document, but is actually an HTML document that contains encoded text pointing to two [...]

https://www.helpnetsecurity.com/2021/04/08/office-365-phishing-javascript/


Zoom zero-day discovery makes calls safer, hackers $200,000 richer

White hat hackers have demonstrated a Remote Code Execution attack against Zoom at the Pwn2Own event.

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/


Library Dependencies and the Open Source Supply Chain Nightmare

It-s a bigger problem than is immediately apparent, and has the potential for hacks as big as Equifax and as widespread as SolarWinds.

https://www.securityweek.com/library-dependencies-and-open-source-supply-chain-nightmare


appleiphoneunlock.uk: Unseriöse Praktiken beim Entfernen der iCloud-Aktivierungssperre!

Sie haben ein gebrauchtes iPhone gekauft und erst im Nachhinein festgestellt, dass Sie es mit Ihrer iCloud-ID gar nicht nutzen können? Die Lösung: Die iCloud-Aktivierungssperre muss freigeschalten werden. Aber Achtung: Unseriöse Seiten bieten solche Entsperrungsdienste an. So zum Beispiel appleiphoneunlock.uk. KonsumentInnen berichten, dass die Angaben beim Bestellprozess irreführend sind und immer wieder weitere Kosten anfallen.

https://www.watchlist-internet.at/news/appleiphoneunlockuk-unserioese-praktiken-beim-entfernen-der-icloud-aktivierungssperre/


Weiter fake Willhaben-SMS zu angeblicher PayLivery-Zahlung

Zahlreiche KonsumentInnen wenden sich momentan an die Watchlist Internet, da sie eine betrügerische SMS zu einer Willhaben-Anzeige erhalten haben. Die Nachricht der Kriminellen täuscht eine Zahlung vor und leitet auf gefälschte Willhaben-Seiten weiter. Die SMS müssen ignoriert werden, ansonsten droht ein Geld- und Datenverlust!

https://www.watchlist-internet.at/news/weiter-fake-willhaben-sms-zu-angeblicher-paylivery-zahlung/


GamerInnen aufgepasst: So versuchen Kriminelle Ihren Steam-Account zu klauen!

Mit mehr als einer Milliarde aktiven NutzerInnen und mit über 30.000 Spielen ist Steam die größte Gaming-Plattform. Kein Wunder, dass die Plattform auch ein beliebtes Ziel für BetrügerInnen ist. Immer wieder geben sich Kriminelle als Steam-MitarbeiterInnen aus, um an die Accounts der SpielerInnen zu kommen. Wir zeigen Ihnen wie die Masche funktioniert und wie Sie sich schützen.

https://www.watchlist-internet.at/news/gamerinnen-aufgepasst-so-versuchen-kriminelle-ihren-steam-account-zu-klauen/

Vulnerabilities

Azure Functions Weakness Allows Privilege Escalation

Microsofts cloud-container technology allows attackers to directly write to files, researchers said.

https://threatpost.com/azure-functions-privilege-escalation/165307/


Cisco: Wichtige Updates beseitigen aus der Ferne attackierbare Sicherheitslücken

Die ersten Cisco-Updates nach den Feiertagen zielen unter anderem auf die SD-WAN vManage Software und Small Business RV Router. Zwei Lücken gelten als kritisch.

https://heise.de/-6008277


Security updates for Thursday

Security updates have been issued by Fedora (chromium, libldb, rpm, samba, and seamonkey), openSUSE (isync), Oracle (kernel), Red Hat (openssl and squid), SUSE (ceph, flatpak, libostree, xdg-desktop-portal, xdg-desktop-portal-gtk, fwupd, fwupdate, and openexr), and Ubuntu (curl, linux-lts-trusty, and lxml).

https://lwn.net/Articles/851956/


ImageMagick: Schwachstelle ermöglicht Offenlegung von Informationen

https://www.cert-bund.de/advisoryshort/CB-K21-0361


ClamAV: Mehrere Schwachstellen

https://www.cert-bund.de/advisoryshort/CB-K21-0358