End-of-Day report
Timeframe: Freitag 26-08-2022 18:00 - Montag 29-08-2022 18:00
Handler: Thomas Pribitzer
Co-Handler: n/a
News
Fake Cthulhu World P2E project used to push info-stealing malware
Hackers have created a fake Cthulhu World play-to-earn community, including websites, Discord groups, social accounts, and a Medium developer site, to distribute the Raccoon Stealer, AsyncRAT, and RedLine password-stealing malware infections on unsuspecting victims.
https://www.bleepingcomputer.com/news/security/fake-cthulhu-world-p2e-project-used-to-push-info-stealing-malware/
HTTP/2 Packet Analysis with Wireshark, (Fri, Aug 26th)
I have been getting these queries in my honeypot logs since end of December 2021 and decided to a diary on some of these packets using some basic analysis with Wireshark.
https://isc.sans.edu/diary/rss/28986
Sysinternals Updates: Sysmon v14.0 and ZoomIt v6.01, (Sun, Aug 28th)
Both Sysinternals utilities (Sysmon and ZoomIt) received updates that significantly extends their scope: Sysmon can now also block actions, and ZoomIt can record videos.
https://isc.sans.edu/diary/rss/28988
Dealing With False Positives when Scanning Memory Dumps for Cobalt Strike Beacons, (Sun, Aug 28th)
I updated my Cobalt Strike beacon analysis tool 1768.py to deal with false positives in Windows system's memory dumps.
https://isc.sans.edu/diary/rss/28990
Aggressive Adware: PDF-Reader für Android mit Millionen Downloads
Ein PDF-Reader im Google Play-Store kommt auf über eine Million Downloads. Es handelt sich jedoch um Adware, die sogar ungenutzt Vollbild-Werbung einblendet.
https://heise.de/-7246842
Fake Wohnungsinserate auf eBay und Co.!
Fake-Inserate finden Sie auf allen gängigen Portalen zur Wohnungssuche. Kriminelle kontaktieren Sie auch direkt, wenn Sie eine -Gesucht-Anzeige- veröffentlicht haben. Gefälschte Wohnungsinserate erkennen Sie an zwei Merkmalen: Die gebotenen Wohnungen sind sehr günstig und Sie müssen noch vor der Besichtigung die Kaution und erste Monatsmiete bezahlen.
https://www.watchlist-internet.at/news/fake-wohnungsinserate-auf-ebay-und-co/
Tor 101: How Tor Works and its Risks to the Enterprise
The Tor project provides one of the most well-known tools that users can leverage to stay anonymous on the internet. People use Tor for many different reasons, both benign and malicious. However, allowing Tor traffic on enterprise networks opens the door to a variety of potential abuses and security risks.
https://unit42.paloaltonetworks.com/tor-traffic-enterprise-networks/
Lookout: Wie man sich vor SMS-Phishing und ähnlichen Angriffen schützt
Momentan gibt fast jede Woche ein anderes bekanntes Unternehmen bekannt, dass es Opfer eines Hacks geworden ist, bei dem Daten abgeflossen sind. Für Administratoren in Unternehmen stellt sich die Frage, wie man die internen Systeme vor SMS-Phishing und ähnlichen Angriffen, die auf Mitarbeiter zielen, schützen kann.
https://www.borncity.com/blog/2022/08/28/lookout-wie-man-sich-vor-sms-phishing-und-hnlichen-angriffen-schtzt/
Vulnerabilities
Atlassian Bitbucket Server vulnerable to critical RCE vulnerability
Atlassian has published a security advisory warning Bitbucket Server and Data Center users of a critical security flaw that attackers could leverage to execute arbitrary code on vulnerable instances.
https://www.bleepingcomputer.com/news/security/atlassian-bitbucket-server-vulnerable-to-critical-rce-vulnerability/
Lexmark: Angreifer können sich durch Firmware-Lücke einnisten
In über 100 Drucker-Modellen von Lexmark steckt eine kritische Lücke in der Firmware. Angreifer könnten sich nach einem Einbruch in den Geräten einnisten.
https://heise.de/-7247068
Security updates for Monday
Security updates have been issued by Debian (curl, exim4, maven-shared-utils, ndpi, puma, webkit2gtk, and wpewebkit), Fedora (dotnet3.1, firefox, and webkit2gtk3), Mageia (clamav, mariadb, net-snmp, postgresql, python-ldap, and thunderbird), SUSE (freeciv, gnutls, keepalived, libyang, nim, python-Django, and varnish), and Ubuntu (schroot).
https://lwn.net/Articles/906355/
Security Bulletin: Custom "Execution States" names on IBM Engineering Test Management TCER pages are vulnerable to XSS ( CVE-2021-38934 )
https://www.ibm.com/blogs/psirt/security-bulletin-custom-execution-states-names-on-ibm-engineering-test-management-tcer-pages-are-vulnerable-to-xss-cve-2021-38934/
D-LINK Router: Mehrere Schwachstellen
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-1203