Tageszusammenfassung - 23.02.2024

End-of-Day report

Timeframe: Donnerstag 22-02-2024 18:00 - Freitag 23-02-2024 18:00 Handler: Thomas Pribitzer Co-Handler: Michael Schlagenhaufer

News

Web3 Crypto Malware: Angel Drainer - From Phishing Sites to Malicious Injections

In this post, we-ll describe how bad actors have started using crypto drainers to monetize traffic to compromised sites. Our analysis starts with a brief overview of the threat landscape and investigation of Wave 2 (the most massive infection campaign) before covering Angel Drainer scan statistics, predecessors, and most recent variants of website hacks that involve crypto drainers.

https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html


Shortcuts-Lücke: Zero-Day-Exploit konnte Apples Systemsicherheit aushebeln

Apples TCC-Verfahren soll eigentlich verhindern, dass böswillige Apps ausgeführt werden. Mittels Shortcuts war das doch möglich. Die Lücke ist gestopft.

https://www.heise.de/-9636600


Intruders in the Library: Exploring DLL Hijacking

Dynamic-link library (DLL) hijacking remains a popular technique to run malware. We address its evolution using examples from the realm of cybercrime and more.

https://unit42.paloaltonetworks.com/dll-hijacking-techniques/


Everything you need to know about IP grabbers

You would never give your personal ID to random strangers, right? So why provide the ID of your computer? Unsuspecting users beware, IP grabbers do not ask for your permission.

https://www.welivesecurity.com/en/cybersecurity/everything-you-need-to-know-about-ip-grabbers/


Weitere Informationen zu Angriffen gegen ConnectWise ScreenConnect

Sophos hat einen Überblick über Angriffe gegen ConnectWise ScreenConnect veröffentlicht. Demnach wurden bereits verschiedene Arten von Ransomware, verschiedene Information Stealer und auch unterschiedliche Remote-Access-Trojans (RATs) auf Basis der kürzlich von ConnectWise veröffentlichten Vulnerabilities in ScreenConnect deployt. Diese heterogene Bedrohungslage bedingt zur Abklärung einer bereits stattgefundenen Kompromittierung auch einen abstrahierten Blick auf etwaige eigene Installationen. Sophos beschreibt in den Kapiteln "Recommendations" und "Threat hunting information" Empfehlungen zur Vorgangsweise, selbst betriebene Instanzen auf Kompromittierungen zu untersuchen. Wir empfehlen weiterhin, etwaige eigene Installationen von ConnectWise ScreenConnect eine genaueren Untersuchung zuzuführen - auch wenn die vom Hersteller herausgegebenen Updates bereits eingespielt wurden.

https://cert.at/de/aktuelles/2024/2/weitere-informationen-zu-angriffen-gegen-connectwise-screenconnect


ProxyNotShell: Scan-Problematik der "false positives" bei Exchange (nmap, Greenbone)

Ende September 2022 scheuchte die als ProxyNotShell bekannt gewordene Schwachstelle in Microsoft Exchange Server Administratoren auf. Die Anfang August 2022 entdeckte Schwachstelle wurde als 0-day mit Exploits angegriffen und Microsoft brauchte mehrere Versuche, die Sicherheitslücke zu schließen. Inzwischen gibt es Scanner wie nmap oder Greenbone, um Exchange Server auf diese Schwachstelle zu prüfen. Allerdings liefern diese Scanner ggf. auch Fehlalarme.

https://www.borncity.com/blog/2024/02/23/proxynotshell-scan-problematik-der-false-positives-bei-exchange-nmap-greenbone/

Vulnerabilities

Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI

Admins sollten das Dienste-Monitoring mit Nagios XI aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen.

https://www.heise.de/-9636505


Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert

Updates schließen mehrere Schwachstellen in GitLab. Eine Lücke bleibt aber offensichtlich erstmal bestehen.

https://www.heise.de/-9636995


Security updates for Friday

Security updates have been issued by Debian (chromium, imagemagick, and iwd), Fedora (chromium, firefox, and pdns-recursor), Mageia (nodejs and yarnpkg), Red Hat (firefox, postgresql, and postgresql:15), and SUSE (bind, mozilla-nss, openssh, php-composer2, python-pycryptodome, python-uamqp, python310, and tiff).

https://lwn.net/Articles/963352/


IBM Security Bulletins

https://www.ibm.com/support/pages/bulletin/


Sonicwall: SMA100 MFA Improper Access Control Vulnerability

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0001


F5: K000138693 : Linux kernel vulnerabilities CVE-2023-4206, CVE-2023-4207, and CVE-2023-4208

https://my.f5.com/manage/s/article/K000138693