End-of-Day report
Timeframe: Freitag 10-05-2024 18:00 - Montag 13-05-2024 18:00
Handler: Alexander Riepl
Co-Handler: Thomas Pribitzer
News
GoTo Meeting loads Remcos RAT via Rust Shellcode Loader
Legitimate applications can unwittingly become conduits for malware execution. This is also the case for recent malware loaders which abuse GoTo Meeting, an online meeting software, to deploy Remcos RAT.
https://www.gdatasoftware.com/blog/2024/05/37906-gotomeeting-loads-remcos
API missbraucht: Hacker teilt Details zum Cyberangriff auf Dell
Ein Cyberkrimineller hat rund 49 Millionen Kundendatensätze von Dell abgegriffen. Möglich gewesen ist ihm dies über eine unzureichend geschützte API eines Partnerportals.
https://www.golem.de/news/api-missbraucht-hacker-teilt-details-zum-cyberangriff-auf-dell-2405-185010.html
FIN7 Hacker Group Leverages Malicious Google Ads to Deliver NetSupport RAT
The financially motivated threat actor known as FIN7 has been observed leveraging malicious Google ads spoofing legitimate brands as a means to deliver MSIX installers that culminate in the deployment of NetSupport RAT.
https://thehackernews.com/2024/05/fin7-hacker-group-leverages-malicious.html
Vorsicht vor falschen Anrufen von PayPal oder Amazon
Derzeit werden uns vermehrt Anrufe im Namen von PayPal und Amazon gemeldet. Die Kriminellen geben vor, ein Problem mit Ihrem Konto zu haben und bieten Ihnen telefonische Hilfe an.
https://www.watchlist-internet.at/news/vorsicht-vor-falschen-anrufen-von-paypal-oder-amazon/
Leveraging DNS Tunneling for Tracking and Scanning
We provide a walkthrough of how attackers leverage DNS tunneling for tracking and scanning, an expansion of the way this technique is usually exploited.
https://unit42.paloaltonetworks.com/three-dns-tunneling-campaigns/
Side-by-Side with HelloJackHunter: Unveiling the Mysteries of WinSxS
This post explores Windows Side-by-Side (WinSxS) and DLL hijacking, deep-diving some tooling Ive written and some of the fun along the way.
https://blog.zsec.uk/hellojackhunter-exploring-winsxs/
Not all scams are easy to spot
Even the most intelligent individuals can fall victim to scams due to coincidental timing and convincing tactics, so staying skeptical, verifying communications and using anti-scam tools is key to reducing the risk.
https://www.emsisoft.com/en/blog/45650/not-all-scams-are-easy-to-spot/
Europol sperrt eigenes Forum nach erfolgreichem Einbruch
Die europäische Polizeibehörde hat ihren Dienst "Europol for Experts" vom Netz genommen. Zuvor waren unter anderem Strategiepapiere daraus angeboten worden.
https://heise.de/-9715410
Ransomware Black Basta zählt nach zwei Jahren weltweit über 500 Opfer
Das FBI teilt wichtige Fakten im Kampf gegen den Erpressungstrojaner Black Basta. Die Ransomware macht auch vor kritischen Infrastrukturen nicht halt.
https://heise.de/-9715674
Vulnerabilities
Widely used modems in industrial IoT devices open to SMS attack
Security flaws in Telit Cinterion cellular modems, widely used in sectors including industrial, healthcare, and telecommunications, could allow remote attackers to execute arbitrary code via SMS.
https://www.bleepingcomputer.com/news/security/widely-used-modems-in-industrial-iot-devices-open-to-sms-attack/
Malicious Python Package Hides Sliver C2 Framework in Fake Requests Library Logo
Cybersecurity researchers have identified a malicious Python package that purports to be an offshoot of the popular requests library and has been found concealing a Golang-version of the Sliver command-and-control (C2) framework within a PNG image of the projects logo.
https://thehackernews.com/2024/05/malicious-python-package-hides-sliver.html
Security updates for Monday
Security updates have been issued by AlmaLinux (nodejs:18 and shim), Debian (atril and chromium), Fedora (chromium, glib2, gnome-shell, mediawiki, php-wikimedia-cdb, php-wikimedia-utfnormal, stb, and tcpdump), Gentoo (Kubelet, PoDoFo, Rebar3, and thunderbird), Mageia (glibc and libnbd), Oracle (kernel), Red Hat (bind and dhcp and varnish), and SUSE (chromium, cpio, freerdp, giflib, gnutls, opera, python-Pillow, python-Werkzeug, tinyproxy, and tpm2-0-tss).
https://lwn.net/Articles/973496/
Microsoft fixt DLL-Hijacking-Schwachstelle in Store-App Telemetrie-Wrapper-Installer
Microsoft hat damit vor einiger Zeit seine Store-Apps mit einem neuen Installer versehen. Dieser enthält einen ausführbaren .NET-Wrapper der Telemetrie und weiteren Code in die App integriert. In der ersten Version wies dieser .NET-Wrapper aber eine DLL-Hijacking-Schwachstelle auf [...]
https://www.borncity.com/blog/2024/05/11/microsoft-fixt-dll-hijacking-schwachstelle-in-store-app-telemetrie-wrapper-installer/
Self-Signed Zertifikate im SAP® Cloud Connector zugelassen
https://sec-consult.com/de/vulnerability-lab/advisory/self-signed-zertifikate-im-sap-cloud-connector-zugelassen/