End-of-Day report
Timeframe: Donnerstag 22-02-2024 18:00 - Freitag 23-02-2024 18:00
Handler: Thomas Pribitzer
Co-Handler: Michael Schlagenhaufer
News
Web3 Crypto Malware: Angel Drainer - From Phishing Sites to Malicious Injections
In this post, we-ll describe how bad actors have started using crypto drainers to monetize traffic to compromised sites. Our analysis starts with a brief overview of the threat landscape and investigation of Wave 2 (the most massive infection campaign) before covering Angel Drainer scan statistics, predecessors, and most recent variants of website hacks that involve crypto drainers.
https://blog.sucuri.net/2024/02/web3-crypto-malware-angel-drainer.html
Shortcuts-Lücke: Zero-Day-Exploit konnte Apples Systemsicherheit aushebeln
Apples TCC-Verfahren soll eigentlich verhindern, dass böswillige Apps ausgeführt werden. Mittels Shortcuts war das doch möglich. Die Lücke ist gestopft.
https://www.heise.de/-9636600
Intruders in the Library: Exploring DLL Hijacking
Dynamic-link library (DLL) hijacking remains a popular technique to run malware. We address its evolution using examples from the realm of cybercrime and more.
https://unit42.paloaltonetworks.com/dll-hijacking-techniques/
Everything you need to know about IP grabbers
You would never give your personal ID to random strangers, right? So why provide the ID of your computer? Unsuspecting users beware, IP grabbers do not ask for your permission.
https://www.welivesecurity.com/en/cybersecurity/everything-you-need-to-know-about-ip-grabbers/
Weitere Informationen zu Angriffen gegen ConnectWise ScreenConnect
Sophos hat einen Überblick über Angriffe gegen ConnectWise ScreenConnect veröffentlicht. Demnach wurden bereits verschiedene Arten von Ransomware, verschiedene Information Stealer und auch unterschiedliche Remote-Access-Trojans (RATs) auf Basis der kürzlich von ConnectWise veröffentlichten Vulnerabilities in ScreenConnect deployt. Diese heterogene Bedrohungslage bedingt zur Abklärung einer bereits stattgefundenen Kompromittierung auch einen abstrahierten Blick auf etwaige eigene Installationen. Sophos beschreibt in den Kapiteln "Recommendations" und "Threat hunting information" Empfehlungen zur Vorgangsweise, selbst betriebene Instanzen auf Kompromittierungen zu untersuchen. Wir empfehlen weiterhin, etwaige eigene Installationen von ConnectWise ScreenConnect eine genaueren Untersuchung zuzuführen - auch wenn die vom Hersteller herausgegebenen Updates bereits eingespielt wurden.
https://cert.at/de/aktuelles/2024/2/weitere-informationen-zu-angriffen-gegen-connectwise-screenconnect
ProxyNotShell: Scan-Problematik der "false positives" bei Exchange (nmap, Greenbone)
Ende September 2022 scheuchte die als ProxyNotShell bekannt gewordene Schwachstelle in Microsoft Exchange Server Administratoren auf. Die Anfang August 2022 entdeckte Schwachstelle wurde als 0-day mit Exploits angegriffen und Microsoft brauchte mehrere Versuche, die Sicherheitslücke zu schließen. Inzwischen gibt es Scanner wie nmap oder Greenbone, um Exchange Server auf diese Schwachstelle zu prüfen. Allerdings liefern diese Scanner ggf. auch Fehlalarme.
https://www.borncity.com/blog/2024/02/23/proxynotshell-scan-problematik-der-false-positives-bei-exchange-nmap-greenbone/
Vulnerabilities
Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI
Admins sollten das Dienste-Monitoring mit Nagios XI aus Sicherheitsgründen zeitnah auf den aktuellen Stand bringen.
https://www.heise.de/-9636505
Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert
Updates schließen mehrere Schwachstellen in GitLab. Eine Lücke bleibt aber offensichtlich erstmal bestehen.
https://www.heise.de/-9636995
Security updates for Friday
Security updates have been issued by Debian (chromium, imagemagick, and iwd), Fedora (chromium, firefox, and pdns-recursor), Mageia (nodejs and yarnpkg), Red Hat (firefox, postgresql, and postgresql:15), and SUSE (bind, mozilla-nss, openssh, php-composer2, python-pycryptodome, python-uamqp, python310, and tiff).
https://lwn.net/Articles/963352/
IBM Security Bulletins
https://www.ibm.com/support/pages/bulletin/
Sonicwall: SMA100 MFA Improper Access Control Vulnerability
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0001
F5: K000138693 : Linux kernel vulnerabilities CVE-2023-4206, CVE-2023-4207, and CVE-2023-4208
https://my.f5.com/manage/s/article/K000138693