Einführung
Bedrohungsaufklärung kann als "die Kunst, den Gegner zu überrumpeln" bezeichnet werden. Die Vorwegnahme, Abschwächung und Verhinderung von Überraschungen in Form von Cyberangriffen ist die Hauptaufgabe eines praktischen Bedrohungsanalyseprogramms.
Um dieses Ziel zu erreichen, ist ein proaktiver Ansatz erforderlich, der Antworten auf wichtige Fragen wie die folgenden gibt: Welche Bedrohungsakteure sind am ehesten in der Lage, meiner Organisation Schaden zuzufügen? Was sind ihre Beweggründe, Ziele und Fähigkeiten? Wie verhalten sie sich, und welche Cyberwaffen setzen sie ein, um ihre Ziele zu erreichen? Und, was am wichtigsten ist, welche Gegenmaßnahmen kann ich ergreifen, um die Cyberverteidigungsfähigkeiten meines Unternehmens zu verbessern?
Unser Team ist stolz darauf, unseren ersten BlackBerry Cybersecurity Global Threat Intelligence Report zu veröffentlichen. Ziel dieses Berichts ist es, verwertbare Informationen über gezielte Angriffe, durch Cyberkriminalität motivierte Bedrohungsakteure und Kampagnen, die auf Organisationen wie die Ihre abzielen, bereitzustellen, damit Sie gut informierte Entscheidungen treffen und umgehend wirksame Maßnahmen ergreifen können.
In dieser ersten Ausgabe finden Sie Berichte von einigen der besten Bedrohungsforscher und -analysten des BlackBerry Threat Research and Intelligence-Teams, Experten von Weltrang, die sich nicht nur mit technischen Bedrohungen auskennen, sondern auch mit lokalen und globalen geopolitischen Entwicklungen und deren Auswirkungen auf die Bedrohungsmodelle von Unternehmen in jeder Region. Zur Erstellung dieses Berichts (der die 90 Tage zwischen dem 1. September und dem 30. November 2022 abdeckt) nutzte das Team Daten und Telemetriedaten, die von unseren eigenen, auf künstlicher Intelligenz (AI) basierenden Produkten und Analysefunktionen stammen und durch andere öffentliche und private Informationsquellen ergänzt werden.
Einige der Forschungsschwerpunkte in diesem Bericht sind:
- 90 Tage in Zahlen. Ein statistischer Überblick über den 90-tägigen Berichtszeitraum, einschließlich der Anzahl der einzelnen Malware-Samples, die BlackBerry daran gehindert hat, unsere Kunden zu schädigen, sowie die geografische Verteilung dieser Angriffe. Hier eine Vorschau: Unsere Technologie stoppte im Durchschnitt 62 neue bösartige Muster pro Stunde, also etwa ein neues Muster pro Minute.
- Häufigste Waffen. Informationen über die gängigsten Waffen, die bei Cyberangriffen eingesetzt werden, einschließlich des Wiederauftretens bösartiger Loader wie Emotet, der umfangreichen Präsenz von Qakbot in der Cyberbedrohungslandschaft und der Zunahme von Downloadern wie GuLoader.
- Fernzugriff erhöht die Zahl der Infodiebe. Mit der postpandemischen Zunahme von Remote- und Hybridarbeit ist die Notwendigkeit, von außen auf interne Netzwerke zuzugreifen, weit verbreitet. Angreifer nutzen die neuen Möglichkeiten des Remote-Zugriffs, indem sie Informationsdiebe (Infostealer) einsetzen, um Anmeldeinformationen von Unternehmen zu stehlen und sie auf dem Schwarzmarkt zu verkaufen. In unserem Bericht werden einige der gängigsten und am weitesten verbreiteten Infostealer beschrieben, die wir in diesem Zeitraum eingesetzt haben.
- Keine Plattform ist "sicher". Bedrohungsakteure haben mehrere Strategien, um verschiedene Server-, Desktop- und Mobilplattformen ins Visier zu nehmen. Entgegen der vorherrschenden Meinung ist zum Beispiel macOS keine "sichere" Plattform: macOS-Malware und -Schwachstellen gibt es zuhauf. Weitere Themen sind Trends wie die zunehmende Zahl von Angriffen auf Linux-Plattformen, die Verwendung von weniger verbreiteten Programmiersprachen wie GoLang zur Entwicklung plattformübergreifender Malware sowie eine eingehende Analyse von Bedrohungen für mobile Geräte mit Android und iOS.
- Einzigartige Branchenperspektive. Aufgrund unserer starken Präsenz sowohl in der Cybersicherheits- als auch in der Internet-of-Things (IoT)-Branche ist BlackBerry in einer einzigartigen Position, um Bedrohungen für Branchen wie die Automobilindustrie aufzudecken, die in anderen Bedrohungsberichten nicht oft behandelt werden. Diese Ausgabe enthält Informationen über von uns beobachtete Cybersicherheitstrends, die sich auf die Automobilindustrie sowie das Gesundheitswesen und die Finanzbranche auswirken werden.
- Die wichtigsten Bedrohungsakteure und Gegenmaßnahmen. Unsere Telemetrie ergab auch die Aktivitäten vieler verschiedener Bedrohungsakteure. Der Bericht enthält Informationen über einige ihrer häufigsten Taktiken, Techniken und Verfahren (TTPs) sowie Links zu öffentlichen Listen angewandter Gegenmaßnahmen, die MITRE ATT&CK und MITRE D3FEND zugeordnet sind. Unser Ziel ist es, die Aktualisierung Ihrer organisatorischen Verteidigungsmaßnahmen und Bedrohungsmodelle auf der Grundlage dieser umsetzbaren Informationen zu erleichtern.
- Schlusswort und Ausblick. Abschließend präsentieren wir unsere Schlussfolgerungen und unsere Prognose für Cyberbedrohungen im Jahr 2023.
Ich möchte unseren globalen Spitzenforschern des BlackBerry Threat Research and Intelligence-Teams danken, die diesen Bericht möglich gemacht haben und weiterhin zahlreiche Forschungsberichte als erste auf den Markt bringen und gleichzeitig die daten- und Cylance AI -gesteuerten Produkte und Dienstleistungen von BlackBerrykontinuierlich verbessern.
Ismael Valenzuela
Vizepräsident, Bedrohungsforschung & Aufklärung bei BlackBerry
Twitter: @aboutsecurity
BlackBerry Autoren von Cybersecurity Threat Intelligence
- Dmitry Bestuzhev
- Pedro Drimel
- Jacob Faires
- Dekan gegeben
- Eoin Healy
- Geoff O'Rourke
- José Luis Sanchez
Die letzten 90 Tage in Zahlen
Gesamtzahl der Angriffe
In den 90 Tagen zwischen dem 1. September und dem 30. November 2022 haben die Cylance® Endpoint Security-Lösungen von BlackBerry 1.757.248 Malware-basierte Cyberangriffe abgewehrt. Im Durchschnitt setzten Bedrohungsakteure etwa 19.524 bösartige Muster pro Tag gegen Kunden ein, die durch unsere Technologien geschützt sind. Diese Bedrohungen umfassten 133.695 einzelne Malware-Samples, was einem Durchschnitt von 1.485 neuen Malware-Samples pro Tag und 62 Samples pro Stunde entspricht: mit anderen Worten, durchschnittlich etwa ein neues Sample pro Minute.
Die folgende Grafik zeigt die Dynamik der potenziellen Cyberangriffe, die Cylance Endpoint Security-Lösungen zwischen dem 1. September und dem 30. November 2022 verhindert haben. Die Spitzenwerte in Woche 4 (29. September bis 5. Oktober) und Woche 7 (20. Oktober bis 26. Oktober) sind auf die Wiederverwendung von Malware-Mustern durch Bedrohungsakteure zurückzuführen.
Geografische Verteilung der durch Cylance Endpoint Security-Lösungen verhinderten Angriffe
Arten von Malware, die bei Angriffen in diesem Berichtszeitraum verwendet wurden
Zwischen dem 1. September und dem 30. November 2022 setzten Bedrohungsakteure eine breite Palette von Malware ein, um ihre finanziellen, geopolitischen, militärischen und taktischen Ziele zu erreichen. Die am weitesten verbreiteten und interessantesten Malware-Familien sind im Folgenden nach Betriebssystemen (OS) geordnet.
Es ist wichtig zu beachten, dass Windows® zwar immer noch das am häufigsten angegriffene Betriebssystem ist, seine Nutzer aber möglicherweise etwas besser auf einen Malware-Angriff vorbereitet sind als Nutzer anderer Betriebssysteme, die vielleicht immer noch glauben, sie seien immun gegen Cyberangriffe. Die Telemetriedaten von BlackBerry® zeigen jedoch, dass auch macOS®, Linux® und mobile Nutzer häufig angegriffen werden: Keine Plattform ist vor Infektionen gefeit.
Windows
Downloader
Downloader locken ihre Opfer zum Öffnen von Dateien, die Malware herunterladen. Die Dateien geben sich häufig als legitime digitale Dokumente oder ausführbare Dateien aus. Zu den gängigen Downloadern gehören die folgenden:
- Emotet ist eine der am weitesten verbreiteten Bedrohungen, die derzeit eingesetzt werden. Er tauchte erstmals 2014 auf und überlebte eine Razzia der Strafverfolgungsbehörden im April 2021, um Ende 2021 wieder aufzutauchen. Im vergangenen Quartal ist Emotet nach einer viermonatigen Pause wieder aufgetaucht. Dabei wurden bereits bekannte Techniken eingesetzt, darunter eine Phishing-Kampagne, bei der bösartige Microsoft® Office-Dokumente verbreitet wurden. Diese Dokumente sollen das Opfer dazu verleiten, sie in ein offizielles Microsoft-Verzeichnis zu kopieren, wo Makros automatisch ausgeführt werden, ohne den Benutzer um Erlaubnis zu fragen. Emotet ist seit langem dafür bekannt, den Banking-Trojaner IcedID zu verbreiten, der enge Verbindungen zu mehreren Ransomware-Gruppen hat.
- Qakbot wird in der Regel durch Phishing-Techniken mit einer Köder-E-Mail verbreitet. Der Köder enthält in der Regel einen LNK-Hyperlink, der auf eine bösartige Webseite mit einer passwortgeschützten ZIP-Datei umleitet, die eine ISO-Datei enthält. Die LNK-Datei führt eine JavaScript-Datei aus, die wiederum eine bösartige Qakbot-DLL mit der Erweiterung .DAT ausführt. Ein interessantes Merkmal von Qakbot ist die Nutzung bestehender E-Mail-Threads als Mittel zur Verbreitung. Seine Fähigkeit, Empfängern zu "antworten", kann den Opfern vorgaukeln, dass der Link oder Anhang im bestehenden E-Mail-Thread von einer vertrauenswürdigen Quelle gesendet wird. Qakbot wird häufig von vielen Ransomware-Gruppen verwendet und wurde in diesem Quartal mit Black Basta in Verbindung gebracht, einer möglichen Conti-Marke, die im Jahr 2022 eine Reihe von Unternehmen in den USA angriff.
- GuLoader lädt eine ausführbare Datei von einem entfernten Standort herunter und führt sie aus. Er wird häufig zum Herunterladen und Ausführen von Infostealern wie RedLine und Raccoon verwendet. GuLoader missbraucht in der Regel Cloud-basierte Dienste wie Google Cloud™ und OneDrive®, um seine Nutzdaten zu hosten; wir haben ihn jedoch auch über Telegram-Bots entdeckt.
Ransomware
Infostahler
Mit der Zunahme von Remote- und Hybrid-Arbeitsplätzen nach der Pandemie wurde der Bedarf an externem Zugriff auf interne Netzwerke immer größer. Angreifer nutzten die zunehmenden Fernzugriffsberechtigungen sofort aus, indem sie mit Infostealern - die früher meist für Cyber-Betrug eingesetzt wurden - Unternehmensanmeldedaten stahlen, um sie auf dem Schwarzmarkt zu verkaufen. Diese gestohlenen Zugangsdaten werden häufig von Initial Access Brokern (IABs) und Partnern von Ransomware-Operationen verwendet, um die Netzwerke der ursprünglichen Organisationen zu kompromittieren und Ransomware zu installieren.
Zu den in diesem Berichtszeitraum beobachteten Dieben gehören die folgenden:
- Redline war der aktivste und am weitesten verbreitete Infostealer. Redline ist in der Lage, Anmeldedaten von zahlreichen Zielen zu stehlen, darunter Browser, Krypto-Wallets, FTP- und VPN-Software (Virtual Private Network) und mehr.
- Der Infostealer Raccoon funktioniert als Malware-as-a-Service (MaaS) und ermöglicht es aufstrebenden Cyberkriminellen, seine leistungsstarken Funktionen für nur 100 US-Dollar pro Monat zu nutzen. Obwohl Raccoon nicht so weit verbreitet war wie Redline, gilt er immer noch als starke Bedrohung. BlackBerry entdeckte sogar Fälle, in denen Raccoon durch eine ursprüngliche Redline-Infektion ausgelöst wurde. Raccoon kann Anmeldeinformationen von Krypto-Wallets, Browser-Erweiterungen, Discord und Telegram stehlen, Screenshots erstellen und als Lader fungieren, um zusätzliche Nutzlasten zu starten.
Im September 2022 versuchten Bedrohungsakteure, Uberi zu kompromittieren. Der Angriff wurde öffentlich mit Mitgliedern der Lapsus$-Gruppe in Verbindung gebracht. Bei dem Uber-Vorfall wurde keine Ransomware eingesetzt, da das Unternehmen schnell handelte, um den Angriff zu stoppen.
Datei-Infektoren
Trojaner für den Fernzugriff
Remote-Access-Trojaner (RATs) können Tastenanschläge protokollieren, auf die Webcam des Benutzers zugreifen, Browser-Anmeldeinformationen stehlen und Angreifern ein Remote-Shell-Befehlszeilenprogramm zur Verfügung stellen, mit dem sie Shell-Befehle auf dem infizierten Gerät sowie auf anderen Computern im Netzwerk ausführen können. Zu den in diesem Berichtszeitraum beobachteten RATs gehören die folgenden:
- njRAT wurde erstmals 2015 entdeckt und ist auch heute noch eines der beliebtesten RATs im Einsatz. Es wurde sowohl von finanziell motivierten Bedrohungsakteuren als auch bei gezielteren Angriffen eingesetzt. Der Builder von njRAT ist weithin verfügbar, was es den Bedrohungsakteuren leicht macht, ihn an jedes gewünschte Angriffsmodell anzupassen. Er wird häufig von Bedrohungsakteuren im Nahen Osten eingesetzt, und unsere eigenen Telemetrie-Daten haben eine Instanz von njRAT mit einem Command-and-Control-Server (C2) in Jordanien identifiziert.
- FlawedAmmyy, das 2018 auftauchte, basiert auf dem durchgesickerten Quellcode des gültigen Fernzugriffstools Ammyy Admin, das sowohl von Unternehmen als auch von Privatanwendern für die Fernsteuerung und -diagnose von Microsoft Windows-Rechnern verwendet wird. Obwohl FlawedAmmyy in erster Linie der Cyberkriminellen Gruppe TA505 zugeschrieben wird (die für die Durchführung von Ransomware-Operationen durch ihre Cl0p-Ransomware bekannt ist), wird es häufig von mehreren Cyberkriminellen verwendet.
macOS/OSX
Adware/Spyware
Browser-Hijacker
Proxy-Malware und -Agenten
Proxy-Malware ist eine Art von Trojaner, der ein infiziertes System in einen Proxy-Server verwandelt, der es einem Angreifer ermöglicht, Aktionen in Ihrem Namen auszuführen. Proxy-Agenten sind Proxy-Malware, die auch RAT-ähnliche Funktionen wie die Ausführung lokaler Befehle auf infizierten Computern bieten. Proxy-Malware unterstützt in der Regel weniger Funktionen als andere Malware-Typen, so dass sie auf eine größere Anzahl von Opfern abzielen kann, da weniger Bibliotheken erforderlich sind. Die Programmiersprache GoLang wird in dieser Malware-Klasse häufig verwendet, da ihre Unterstützung für Proxy-Bibliotheken wie Proxit die Entwicklung für unerfahrene Cyber-Kriminelle erleichtert.
BlackBerry hat die zunehmende Verwendung von GoLang zur Bekämpfung von macOS-Systemen als Teil eines umfassenderen plattformübergreifenden Angriffs auf mehrere Plattformen für opportunistische Angriffe wie bösartigen Spam (Malspam) festgestellt. Um effektiv auf mehreren Plattformen zu operieren, sind diese Angriffe auf einfache Funktionen angewiesen, die auf allen Plattformen vorhanden sind. Bei den meisten beobachteten Proxy-Malware-Samples handelt es sich um Proxy-Agenten, die Browser angreifen, die auf mehreren Plattformen verfügbar sind.
Linux
Bots und Botnetze
Ein Bot ist ein autonomes Programm, das Befehle ohne menschliches Eingreifen ausführt, und ein Botnet ist eine Gruppe von Bots, die von einem einzigen Bedrohungsakteur kontrolliert werden. Botnets werden in der Regel gebildet, indem eine Fehlkonfiguration oder eine ungepatchte Sicherheitslücke ausgenutzt wird, die die Installation von bösartigem Code ermöglicht, der den Computer des Opfers dem Botnet hinzufügt. Seit dem Auftauchen des berühmt-berüchtigten Mirai-Botnetzes, das 2016 groß angelegte DDoS-Angriffe (Distributed Denial of Service) durchführte, sind weitere Linux-Botnets aufgetaucht.
Bekannte Internet-Relay-Chat-Botnets (IRC-Botnets) wie ShellBot waren auch Ende 2022 noch aktiv und nutzten Brute-Force-Taktiken, um über falsch konfigurierte oder standardmäßige Anmeldeinformationeniv in Systeme einzudringen. Darüber hinaus hat das Sysrv-Botnet Schwachstellen in der Remote-Code-Ausführung (RCE)v über CVE-2022-22947vi ausgenutzt, um Systeme zu kompromittieren und sein Botnet in großem Umfang auszubauen.
Schadsoftware und Tooling
BlackBerry in diesem Berichtszeitraum weitere Malware und bösartige Tools beobachtet und identifiziert. SSH-Tools (basierend auf dem Secure-Shell-Protokoll, das den Fernzugriff ermöglicht) werden häufig zusammen mit bösartigem Code eingesetzt, um Anmeldedaten zu erzwingen und/oder Netzwerke nach Verbreitungsmöglichkeiten zu durchsuchen. Während des 90-tägigen Berichtszeitraums wurde das Tool Faster than Lite (FTL) verstärkt eingesetzt. Das Tool wird häufig von der Bedrohungsgruppe OutLawvii missbraucht und wurde mit ShellBot gebündelt.
Unsere Telemetrie ergab, dass ähnliche Kampagnen das GoLang-basierte SSH-Brute-Force-Tool Spirit einsetzen, das auch als Verbreitungswerkzeug missbraucht wird. Spirit wird in der Regel zusammen mit den IRC-Bots Pwnrig und Tsunami abgesetzt, die wir mit relativ hoher Wahrscheinlichkeit der Hackergruppe 8220 Gang zuordnen können.
Die mittlerweile berühmte Log4j-Schwachstelle wurde im Berichtszeitraum regelmäßig von verschiedenen Malware-Familien und Bedrohungsakteuren missbraucht. Der Kinsing-Trojaner beispielsweise missbrauchte die Java Log4j-Paketschwachstelleviii CVE-2021-44228ix für RCE auf Linux-Plattformen und wurde in jüngerer Zeit unter Ausnutzung der Oracle WebLogic Server-Schwachstellex CVE-2020-14882xi beobachtet. Dieser Trojaner versucht, die Sicherheits- und Cloud-Service-Agenten eines Geräts zu deaktivieren und alle konkurrierenden Malware- und Kryptowährungs-Miner (Krypto-Miner) auf dem Opfersystem zu töten, bevor er seinen eigenen Krypto-Miner einsetzt.
Krypto-Miner und Kryptojacking
Cryptojacking ist eine weit verbreitete Methode, bei der ein Bedrohungsakteur eine bösartige Krypto-Mining-Software auf dem Gerät eines Opfers installiert, um ohne dessen Zustimmung Kryptowährungsmünzen zu schürfen. Krypto-Miner sind seit einem Jahrzehnt eine hartnäckige Plage in der Cyberbedrohungslandschaft. Krypto-Miner betreffen alle wichtigen Computersysteme und können lange Zeit unentdeckt bleiben.
Auch wenn Kryptowährungen im Berichtszeitraum allgemein an Wert verloren haben, kann der Einsatz von Krypto-Minern in großem Maßstab für Bedrohungsakteure greifbare finanzielle Vorteile bringen. Insgesamt sind Kryptowährungen trotz der Marktveränderungen für viele dieser Linux-basierten Bedrohungsakteure immer noch König.
In diesem Quartal machten Krypto-Miner einen erheblichen Teil der Bedrohungen aus, die auf Linux-Geräte abzielten. Das Mining von Kryptowährungen ist ressourcenintensiver und damit kostspieliger geworden. Infolgedessen haben Angreifer begonnen, die Umgebungen mehrerer Opfer zu kompromittieren, um Miner zu installieren und benötigte Rechenressourcen zu missbrauchen. Sowohl der bereits erwähnte ShellBot als auch der Sysrv-Bot dringen in Systeme ein, setzen Krypto-Miner ein und kapern Systemressourcen.
In der Regel gelangen Crypto-Miner nach der Kompromittierung durch eine fallengelassene Nutzlast oder durch Ausnutzung einer Schwachstelle wie CVE-2022-26134xii (Atlassian Confluence) oder CVE-2019-2725xiii (WebLogic) in die Umgebung eines Opfers, wie es häufigxiv beim PwnRig Crypto-Miner zu sehen ist. Krypto-Miner versuchen, sich in Standard-Hintergrundressourcen wie Cron-Jobs (die Routineaufgaben zur Wiederholung zu bestimmten Zeiten in der Zukunft planen) einzuschleichen und so lange wie möglich unentdeckt zu bleiben.
Das Quartal enthüllte auch Entdeckungen im Zusammenhang mit CryptoNight, einem Mining-Algorithmus, der zur Sicherung von Netzwerken und zur Validierung von Transaktionen in einigen Kryptowährungen wie Monero und Webchain verwendet wird, einschließlich eines Anstiegs der Nutzung des Webchain-Miners sowie mehrerer XMRig-basierter Miner. XMRig ist ein beliebtes Open-Source-Dienstprogramm, das häufig zum Mining von Kryptowährungen wie Bitcoin und Monero verwendet wird, und ist heute einer der am häufigsten von Bedrohungsakteuren missbrauchten Coin-Miner.
Mobile Geräte
Android
Im Jahr 2022 nutzten fast 71 Prozent der mobilen Geräte weltweit das Android™-Betriebssystem. Zu den Bedrohungen während des Berichtszeitraums gehören die folgenden:
- Lotoor ist ein Tool, das sowohl für gutartige als auch für bösartige Zwecke verwendet werden kann. Android-Besitzer können Lotoor verwenden, um ihre Geräte zu rooten oder zusätzliche Funktionen freizuschalten. Das Tool kann aber auch verwendet werden, um die integrierten Sicherheitsfunktionen von Google zu umgehen und hartnäckige Malware zu implantieren.
- AdvLibrary infiziert Geräte, um den Internetverkehr zu monetarisieren, indem er unerwünschte Werbung anzeigt und ausgehenden Datenverkehr über bezahlte Anzeigen generiert. Den Opfern entsteht in der Regel kein direkter finanzieller Schaden, aber es können ihnen zusätzliche Kosten für den erhöhten Datenverkehr entstehen. Cyberkriminelle generieren mit AdvLibrary Einnahmen durch Klicks auf Werbung und Datenverkehr zu böswillig beworbenen Websites.
iOS
iOS® gilt im Allgemeinen als ein sichereres mobiles Betriebssystem als andere. Während Zero-Day-iOS-Exploits teuer sind und nur selten für unkontrollierte Angriffe verwendet werden, ist iOS nicht immun gegen Exploits, die iPhone®-Geräte "jailbreaken" oder entsperren, eine potenziell gefährliche Aktivität, die die ursprünglichen Apple®-Sicherheitsfunktionen entfernt und vollständigen Zugriff auf das Gerät ermöglicht. Während einige Besitzer ihre iPhones absichtlich jailbreaken, um beispielsweise unerwünschte Standard-Apps zu entfernen, sind jailbroken Telefone anfällig für Angriffe.
Viele Bedrohungsakteure nutzen iPhone-Jailbreaks, um Implantate auf den Geräten der Opfer zu installieren. Vortex zum Beispiel ist eine potenziell bösartige Malware-Familie, die auf iOS-Nutzer abzielt. Wie Lotoor für Android ist auch Vortex ein Rooter, der iPhones jailbreaken kann, was Cyberkriminelle zur Installation von Malware nutzen können. Diese Technik ist vor allem bei mittelgroßen Bedrohungsakteuren verbreitet, die nicht über die technischen Möglichkeiten verfügen, Zero-Day-Bedrohungen zu starten. Im vergangenen Quartal hat BlackBerry mindestens zwei verschiedene Versionen von Vortex gesehen, die iOS-Geräte jailbreaken können.
Branchenspezifische Angriffe
Automobilindustrie
Die jahrhundertealte Automobilindustrie befindet sich mitten in einer großen technologischen Revolution. Bahnbrechende technologische Fortschritte ermöglichen die Entwicklung neuer Arten von Fahrzeugen, Systemen und Dienstleistungen. Diese digitale Transformation bietet viele Vorteile, hat aber auch neue Herausforderungen für die Cybersicherheit mit sich gebracht.
Mit der zunehmenden Vernetzung und Autonomie von Fahrzeugen werden diese potenziell anfälliger für Cyberbedrohungen und Bedrohungsakteure. Darüber hinaus sind auch die immer komplexer werdenden Fertigungssysteme, die Fahrzeuge produzieren, dem Risiko von Cyberangriffen ausgesetzt.
In den vergangenen Jahren war die Automobilbranche von groß angelegten und öffentlichkeitswirksamen Bedrohungen relativ unberührt. Böswillige Unternehmen haben jedoch begonnen, nicht nur die Automobilhersteller, sondern die gesamte Branche ins Visier zu nehmen, indem sie versuchen, den Betrieb zu stören, sensible Daten zu stehlen und die Lieferketten zu unterbrechen. Im Jahr 2022 beobachteten wir einen Anstieg sowohl der Zahl der bösartigen Organisationen, die es auf die Automobilindustrie abgesehen haben, als auch des Ausmaßes der von ihnen verursachten Störungen.
Um sich vor diesen Bedrohungen zu schützen, müssen die Unternehmen der Automobilindustrie die potenziellen Risiken erkennen, die mit einer stärker vernetzten Zukunft des Automobils einhergehen, und strenge Cybersicherheitsmaßnahmen zum Schutz von Fahrzeugen und Fahrern einführen.
Aktuelle Bedrohungstrends
Aufgrund ihrer globalen Ausdehnung gibt es in der Automobilindustrie eine immense Anzahl von Endpunkten, die überwacht und geschützt werden müssen. Sie umfasst jede Organisation in der Wertschöpfungskette, von Unternehmen, die Rohmaterialien beziehen, bis hin zu Autohäusern und Autobesitzern. Die riesige digitale Angriffsfläche dieser komplexen Lieferkette muss gesichert werden, um den Betrieb dieses wichtigen globalen Unternehmens aufrechtzuerhalten.
Die Angriffe zwischen dem 1. September und dem 30. November 2022 reichten von ausgeklügeltem Spearphishing bis hin zu handelsüblichem Malspam, was darauf hindeutet, dass die Automobilindustrie ständig sowohl von fortgeschrittenen als auch von unerfahrenen Cyber-Angreifern angegriffen wird.
Downloader
Malware-Downloader kommen bei fast allen Arten von Cyberangriffen vor und können sich in Aussehen, Dateityp und relativer Raffinesse der Techniken unterscheiden, mit denen sie in Systeme eindringen. Täuschende Bedrohungsakteure überreden ahnungslose Opfer, den Downloader als ersten Teil eines Cyberangriffs zu installieren. Sobald der Code ausgeführt wird, installieren Downloader zusätzlichen bösartigen Code und Nutzdaten, um weitreichendere Cyberangriffe durchzuführen.
GuLoader ist ein Paradebeispiel für einen Downloader, der in diesem Berichtszeitraum auf die Automobilindustrie abzielte. Die Malware wurde erstmals im Jahr 2019 identifiziert und entwickelt sich ständig weiter. GuLoader gibt sich oft als legitime digitale Dokumente oder ausführbare Dateien aus, bevor er andere Commodity-Malware herunterlädt.
Infostahler
Die wertvollen und oft geschützten Daten der Automobilindustrie machen die Branche zu einem bevorzugten Ziel für Cyber-Diebe. Diese Daten sind eine Ware, die oft wertvoller sein kann als die Fahrzeuge selbst.
Malware-Infostealer sind eine Art von Schadcode, der Daten aus dem System eines Opfers ausspäht und illegal exfiltriert, um sie für finanzielle und/oder taktische Ziele zu nutzen. Infostealer können in Verbindung mit RATs wie Remcos als Standard-Malware verwendet werden, die oft als Service für andere Bedrohungsakteure verkauft wird, um böswilligen Zugriff auf und Kontrolle über Opfersysteme zu erhalten.
Ransomware
Ransomware ist der Alptraum eines jeden Sicherheitsteams, und Bedrohungsakteure wissen, dass Ransomware, die auf die Lieferketten der Industrie abzielt, verheerende Folgen haben kann. In der Automobilindustrie könnte ein Ransomware-Angriff in jeder Phase der Lieferkette die Produktion oder den Vertrieb stoppen, was zu Umsatz- und Reputationsverlusten im gesamten Ökosystem der Branche führt.
BlackCat Ransomware wurde bei einigen der berüchtigten Ransomware-Angriffe im Jahr 2022 beobachtet. Die Cyberkriminellen, die diese spezielle Ransomware einsetzen, scheinen vor allem finanziell motiviert zu sein und haben es vor allem auf das produzierende Gewerbe abgesehen, wobei sie häufig kleine bis mittlere Unternehmen angreifen. BlackCat-Ransomware infiltriert eine Umgebung, exfiltriert wertvolle Daten und verschlüsselt dann die angeschlossenen Systeme.
ALPVH (die Bedrohungsgruppe, die hinter der BlackCat-Ransomware steckt) nutzt häufig doppelte Erpressungsmethoden, indem sie die Daten der Opfer über ihre Leak-Site (eine Website, auf der gestohlene private und potenziell sensible Dokumente gehostet werden) veröffentlicht. Ihr Ziel ist es, die betroffene Organisation zur Zahlung des Lösegelds zu zwingen, indem sie sich die Angst zunutze machen, dass noch wertvollere Daten veröffentlicht oder an Konkurrenten verkauft werdenxvi.
Dual-Use-Tools
Bei Anwendungen mit doppeltem Verwendungszweck handelt es sich in der Regel um legitime Tools und Software, die Merkmale oder Funktionen bieten, die von Bedrohungsakteuren potenziell missbraucht werden können. Der Begriff "living off the land" (LotL) beschreibt die Handlungen von Bedrohungsakteuren, die legitime Tools zur Umgehung von Sicherheitssystemen und zur Vermeidung einer Entdeckung missbrauchen.
Bedrohungsakteure verlassen sich zunehmend auf Dual-Use-Tools anstelle von bösartigem Code, um sich in einer Umgebung zu verbreiten, wertvolle Daten zu exfiltrieren oder sogar Malware als "erlaubtes" Tool einzusetzen. Systemadministratoren sollten alle Dual-Use-Tools entfernen, für die es keine gültigen Anwendungsfälle oder geschäftlichen Rechtfertigungen gibt.
Größere Bedrohungslandschaft in der Automobilindustrie
Aufgrund der zunehmenden Verbreitung "intelligenter" und mit dem Internet verbundener Funktionen in modernen Autos und dem Aufkommen softwaredefinierter Fahrzeuge (SDV), die neue Funktionen über Software-Updates erhalten und verwalten, stellen Fahrzeuge eine zunehmend verlockende Angriffsfläche für Bedrohungsakteure dar. Schätzungen zufolge werden bis zum Jahr 2023 bis zu 775 Millionen vernetzte Autos auf den Straßen unterwegs seinxvii. Die Zahl der versuchten Cyberangriffe wird wahrscheinlich steigen, da die Angreifer wissen, dass Störungen jeglicher Art während der Produktion, Fertigung, Auslieferung und des Verkaufs nicht toleriert werden können.
In den letzten Jahren wurden verschiedene Arten von direkten Angriffen auf Fahrzeuge verübt, und es hat sich gezeigt, dass schlüssellose Fahrzeuge besonders anfällig sind. Daten des britischen Versicherungsunternehmens LV= General Insurance zeigen, dass 48 Prozent der Autodiebstähle Fahrzeuge betrafen, die mit schlüsselloser Technologie ausgestattet warenxviii. Europol gab im Oktober 2022 bekannt, dass ein europäischer Autodiebstahlring ausgehoben wurde, der es auf Fahrzeuge mit Keyless-Entry- und Keyless-Start-Funktion abgesehen hatte und eine betrügerische Software verwendete, um Fahrzeuge ohne physischen Schlüsselanhänger zu stehlenxix. (Die Aufdeckung erfolgte, nachdem die Sicherheitslücke gemeldet und gepatcht worden war.)
Insgesamt war die Automobilindustrie in den letzten fünf Jahren von einer nahezu ununterbrochenen Reihe von Cyberangriffen betroffen, darunter Datenschutzverletzungen, Ransomware und Angriffe durch APT-Gruppen (Advanced Persistent Threats). Die Zahl der Bedrohungen stieg im Jahr 2022 sprunghaft an und wird aufgrund der zunehmenden Verbreitung von eingebetteter Technologie in neuen Fahrzeugen wahrscheinlich weiter steigen. Im Jahr 2017 wurde beispielsweise ein Automobilhersteller Opfer der WannaCry-Ransomwarexx, die das Unternehmen zu einem kurzen Produktionsstopp zwang. Im Jahr 2019 tauchte die Gruppe APT32 (auch bekannt als OceanLotus) aufxxi, die einige Quellen mit der Unterstützung des vietnamesischen Automobilsektors in Verbindung bringenxxii. Dieselbe Gruppe hat auch die Netzwerke anderer Automobilhersteller angegriffen und kompromittiertxxiii. Von 2020 bis 2022 nahm die Zahl der Angriffe (vor allem Ransomware) zu. Im Jahr 2022 betrafen bemerkenswerte Ransomware-Angriffe eines der größten europäischen Autohäuserxxiv, einen niederländischen Spezialfahrzeugherstellerxxv und einen amerikanischen Reifenherstellerxxvi.
Die nachstehende Abbildung zeigt eine Zeitleiste mit einer Auswahl größerer Angriffe, die im Jahr 2022 in der Automobilindustrie gemeldet wurden.
Angriffe in der Lieferkette
Sowohl die Pandemie als auch die russische Invasion in der Ukraine haben gezeigt, dass die Lieferketten anfällig sind. Die Automobilindustrie ist nicht immun gegen Verzögerungen, Engpässe und Unterbrechungen, denen andere Branchen ausgesetzt sind.
Angesichts der Komplexität der Branche verlassen sich viele Unternehmen auf eine Just-in-Time (JIT)-Lieferkettenstrategie, um ihr riesiges Ökosystem aus Anbietern, Teilen und Herstellern aufrechtzuerhalten, wodurch eine extrem große Angriffsfläche entsteht, die von Bedrohungsakteuren ausgenutzt werden kann. Das Kennzeichen der JIT-Strategie ist, dass Produkte erst dann hergestellt werden, wenn sie benötigt werden. Folglich kann die Produktion verlangsamt oder gestoppt werden, wenn benötigte Komponenten und Materialien nicht sofort verfügbar sind. Infolgedessen kann ein Cyberangriff innerhalb der Lieferkette die Automobilproduktion effektiv stoppen.
Anstatt direkt auf die Automobilhersteller zu zielen, die möglicherweise stark gegen Eindringlinge geschützt sind, könnten böswillige Angreifer stattdessen die verschiedenen Zulieferer angreifen, insbesondere diejenigen, die über weniger Cybersicherheit verfügen. So führten beispielsweise im März 2022 kompromittierte Dateisysteme bei Kunststoff- und Elektroniklieferanten zu Produktionsverzögerungen bei schätzungsweise 13.000 Fahrzeugen eines japanischen Automobilherstellers. Nach Angaben eines von Automotive News Europe zitierten Sprechers umfasst die Lieferkette des Automobilherstellers 60.000 Unternehmen auf vier Ebenenxxvii. Cyberangriffe in einer Lieferkette dieser Größenordnung können sich potenziell auf die Fähigkeit anderer Unternehmen auswirken, benötigte Teile und Materialien zu erhalten.
Trends für die Zukunft
Gesundheitswesen
Die Gesundheitsbranche sieht sich mit einer zunehmenden Zahl von Cyberbedrohungen konfrontiert, da Bedrohungsakteure es auf die höchst vertraulichen Daten und wertvollen Informationen von Gesundheitseinrichtungen abgesehen haben. Dies ist ein wichtiges Problem für Gesundheitsdienstleister, da ein erfolgreicher Cyberangriff schwerwiegende Folgen haben kann, einschließlich des Verlusts oder der Veröffentlichung sensibler Patientendaten, finanzieller Verluste und sogar direkter physischer Schäden für Patienten. Das Gesundheitswesen ist aufgrund einer Kombination von Faktoren besonders anfällig für diese Bedrohungen. Dazu gehören der weit verbreitete Einsatz von Medizintechnik mit einer langen Lebensdauer, die komplexe und oft vernetzte Natur der Gesundheitssysteme und die riesigen Mengen an sensiblen Daten, die routinemäßig erfasst und gespeichert werden. Es ist unerlässlich, dass Gesundheitsdienstleister die Gefahren der aktuellen Cyber-Bedrohungslandschaft verstehen und sich und ihre Patienten proaktiv vor potenziellen Schäden schützen.
Insgesamt stellt Ransomware immer noch die größte Bedrohung für das Gesundheitswesen dar, und Bedrohungsgruppen, die sich auf Ransomware stützen, zielen immer noch sehr aktiv darauf ab, wie der Ransomware-Angriff auf CommonSpirit Health im Oktober zeigt, bei dem Daten von mehr als 600.000 Patienten kompromittiert wurdenxxix. In der Vergangenheit gaben einige RaaS-Gruppen wie Maze an, dass sie keine Krankenhäuser angreifen würden, aber solche Versprechen können nicht garantiert werden. Angesichts der Vielfalt mehrerer RaaS-Gruppen und der Verbreitung von Partnerschaftsmodellen ist die Gruppe, die einen Angriff ausführt, möglicherweise nicht dieselbe Gruppe, die die Malware entwickelt hat, was die Rückverfolgung und Zuordnung erschwert.
Unseren Telemetriedaten zufolge stoppten die Lösungen von Cylance Endpoint Security in diesem Berichtszeitraum 7.748 einzelne Malware-Samples, die auf das Gesundheitswesen abzielten, was einem Durchschnitt von mehr als 80 einzelnen Malware-Samples pro Tag entspricht. Der beliebteste Trojaner war Qakbot, der seit mindestens 2012 von Cyberkriminellen eingesetzt wird und ein hohes Risiko für das Gesundheitswesen darstellt. Im Jahr 2022 wurde Qakbot hauptsächlich von Partnern verwendet, die die Ransomware Black Basta einsetzen. Da Emotet nach seiner kürzlichen viermonatigen Abschaltung nicht mehr viele Kampagnen durchführte und TrickBot sich mehr auf die Verbesserung seiner Bumblebee-Malware zu konzentrieren scheint, glauben wir, dass Qakbot weiterhin der aktivste Trojaner ist, der RaaS-Affiliates und IABs den Zugang zum Gesundheitsnetzwerk erleichtert.
Meterpreter (eine Metasploit-Nutzlast, die eine interaktive Shell für den Angreifer bereitstellt) und BloodHound waren in diesem Zeitraum ebenfalls aktiv. Wir entdeckten einen Angriff, bei dem Meterpreter zusammen mit der Ausführung von SharpHound verwendet wurde, einem Collector für BloodHound, der üblicherweise für laterale Bewegungen innerhalb eines Netzwerks nach einem Angriff verwendet wird. Die Cybersecurity and Infrastructure Security Agency (CISA) empfiehlt Netzwerk- und Systemadministratoren, BloodHound absichtlich selbst auszuführen, um mögliche Angriffspfade in ihren Umgebungen zu verstehenxxx.
Wir haben auch beobachtet, dass TinyNuke den Netwire-RAT abwirft. Ursprünglich ein Banking-Trojaner mit ähnlichen Funktionen wie ZeuS, ist TinyNuke ein vollwertiger Trojaner, der die VNC-Server-Gerätekontrolle und Reverse-SOCKS-Funktionalität beinhaltet. TinyNuke wurde auch von der Kimsuky Groupxxxi verwendet und der Demokratischen Volksrepublik Korea (DPRK) zugeschrieben. Bei der Untersuchung dieses Angriffs stellten wir fest, dass TinyNuke das Netwire RAT herunterlädt und ausführt und eine Verbindung zu einer auf DuckDNS gehosteten Domäne herstellt, die üblicherweise von RATs verwendet wird.
BlackBerry Die Forscher fanden auch einen Fall, in dem ein unbekannter Bedrohungsakteur das PlugX RAT einsetzte, das häufig von mehreren nationalstaatlichen Bedrohungsakteuren wie Mustang Panda verwendet wird (mehr dazu in unserem öffentlichen Bericht). Und obwohl wir keine Infostealer wie Redline und Raccoon gesehen haben, die speziell auf das Gesundheitswesen abzielen, sind wir auf eine Instanz von GuLoader gestoßen, einem Downloader, der von Cyberkriminellen häufig zur Verbreitung von Infostealern verwendet wird.
Die Finanzindustrie
Die Finanzbranche ist seit jeher das Ziel von Cyberkriminellen und nationalen Bedrohungsakteuren, die in Gebieten ansässig sind, die von Finanzsanktionen betroffen sind. Während des 90-tägigen Berichtszeitraums stoppten die Lösungen von Cylance Endpoint Security 9.721 einzelne Malware-Samples, die sich gegen Ziele in der Finanzbranche richteten, wobei durchschnittlich etwa 108 einzelne bösartige Samples pro Tag identifiziert wurden.
Verschiedene Bedrohungsakteure, darunter auch staatliche Akteure, haben sich auf kommerzielle Penetrationstests (Pen-Testing) wie Cobalt Strike und andere verlassen, um die Grenze zwischen Cyberkriminellen und legitimen Testaktivitäten zu verwischen. Diese Verwirrung gibt Cyberkriminellen mehr Zeit, um in einem Netzwerk zu operieren, nachdem sie sich Zugang verschafft haben. Im Jahr 2022 wurden wir Zeuge mehrerer Vorfälle, bei denen kommerzielle Software zur Simulation von Angreifern, darunter Cobalt Strike und Pen-Testing-Software wie Metasploit, Mimikatz und Brute Ratel, in Finanzinstituten eingesetzt wurde. Brute Ratel ist ein Tool zur Simulation von Angriffen, und Mimikatz wird sowohl von Angreifern als auch von Sicherheitsexperten verwendet, um vertrauliche Informationen wie Passwörter und Anmeldedaten aus dem Speicher eines Systems zu extrahieren. Derzeit ist nicht bekannt, ob Mimikatz und Brute Ratel im Rahmen legitimer Pen-Tests eingesetzt wurden oder ob es sich um echte Angriffe handelte.
Neben anderen Top-Bedrohungen haben wir Infostealer für den Erstzugang wie Redline Stealer gestoppt. Es ist allgemein bekannt, dass Tools für den Erstzugang sehr gefragt sind, da sie Zugang zu den Netzwerken der Opfer verschaffen, der dann verkauft werden kann. Viele Bedrohungsakteure, darunter auch die Lapsus$-Gruppe, verlassen sich auf Infostealer, um Zugang zu Unternehmen zu erhalten. (Die Lapsus$-Gruppe ist eine internationale, auf Erpressung ausgerichtete Bedrohungsgruppe, die für zahlreiche Cyberangriffe auf Unternehmen und Regierungsbehörden bekannt ist).
Cylance Endpoint Security-Lösungen haben auch verschiedene Angriffe im Zusammenhang mit Krypto-Mining und Angriffen auf Linux-Ökosysteme abgewehrt, die aufgrund der im Vergleich zur Windows-Welt relativ geringen Sichtbarkeit attraktive Ziele sind. Ein Beispiel ist die Backdoor Rekoobe, ein Linux-Trojaner, der seit mindestens sieben Jahren weltweit aktiv auf Opfer abzieltxxxii.
Die aktivsten Bedrohungsakteure
TA505 ist eine aktive und einflussreiche Gruppe von Cyberkriminellen mit großem Einfluss in der Welt der finanziell motivierten Cyberbedrohungen. Zu den Zielen der Gruppe gehören das Bildungs- und Finanzwesen, das Gesundheitswesen, das Gastgewerbe und der Einzelhandel weltweit.
Sie sind dafür bekannt, dass sie große Mengen bösartiger E-Mails versenden und über eine breite Palette von Malware verfügen, was auf starke Verbindungen zu Malware-Netzwerken im Untergrund schließen lässt. Derzeit verwendet die Gruppe weiterhin Locky-Ransomware als Hauptinstrument für ihre Angriffe, aber es ist auch bekannt, dass sie mit anderen Arten von Malware experimentiert.
Zu den Tools von TA505 gehören die Ransomware Cl0p, das FlawedAmmyy RAT (das auf durchgesickertem Quellcode für eine Version des legitimen Tools Ammyy Admin basiert) und Banking-Trojaner wie Dridex.
ALPHV
ALPHV ist eine relativ neue und schnell wachsende Cybercrime-Gruppe, die durch innovative Erpressungstaktiken und unkonventionelle Angriffsmethoden auf sich aufmerksam gemacht hat. Trotz ihrer relativ kurzen Geschichte hat die Gruppe in der Cybercrime-Gemeinschaft einen erheblichen Einfluss ausgeübt und wird sich wahrscheinlich weiterentwickeln und ihre Aktivitäten ausweitenxxxiii.
ALPHV ist bekannt für die Verwendung von Rust, einer leistungsstarken Programmiersprache, die es dem Bedrohungsoperator ermöglicht, eine Codebasis auf vielen verschiedenen Betriebssystemen zu verwenden. Die Gruppe verwendet mehrere LotL-Binärdateien, -Skripte und -Bibliotheken (LOLBins), um ihre Ziele zu erreichen.
BlackCat RaaS wird in der letzten Phase der ALPHV-Hacking-Kampagnen eingesetzt, nachdem sich die Gruppe innerhalb bestimmter Hosts bewegt und alle gewünschten Informationen gesammelt hat. ALPHV beginnt dann mit finanzieller Erpressung und hat sogar mit DDoS-Angriffen gedroht, um die Opfer zur Zahlung des Lösegelds zu zwingen. Mit der Veröffentlichung von BlackCat Ransomware als RaaS hat sich die Hackergruppe dem schnell wachsenden Malware-Trend der doppelten Erpressung angeschlossen, bei der sowohl Daten exfiltriert als auch gegen Lösegeld verschlüsselt werden.
Die ALPHV-Gruppe scheint nicht auf einen bestimmten Sektor oder ein bestimmtes Land abzuzielen. Da ALPHV anderen Bedrohungsakteuren die Verwendung von BlackCat-Ransomware erlaubt, deutet das Vorhandensein der Malware nicht unbedingt auf einen direkten Angriff von ALPHV hin. Bisher hat BlackCat Ransomware Angriffe auf den Einzelhandel, den Finanzsektor, die verarbeitende Industrie, Behörden, den Technologiesektor, das Bildungswesen und das Transportwesen in Ländern wie den USA, Australien, Japan, Italien, Indonesien, Indien und Deutschland verursachtxxxiv.
Es wird vermutet, dass APT32 seinen Sitz in Vietnam hat und seit mindestens 2014 bösartige Cyber-Aktivitäten durchführt. Zu seinen Zielen gehören verschiedene private Unternehmen, ausländische Regierungen und Einzelpersonen wie Dissidenten und Journalisten, wobei der Schwerpunkt auf südostasiatischen Ländern wie Vietnam, den Philippinen, Laos und Kambodscha liegt. APT32 wendet häufig Taktiken wie die strategische Kompromittierung des Internets an, um Zugang zu den Systemen der Opfer zu erhalten. Diese raffinierte Gruppe hat auch Verteidigungsorganisationen, High-Tech-Unternehmen, das Gesundheitswesen und die Industrie angegriffen.
Das BlackBerry Threat Research and Intelligence Team hat mehrere APT32-Eindringlinge analysiert. Die Gruppe hat eine Reihe von RATs mit dem Namen Ratsnif eingesetzt, um neue Netzwerkangriffsmöglichkeiten zu nutzen. Wir haben auch festgestellt, dass die Gruppe Steganografie (eine Technik, bei der geheime Daten in einer gewöhnlichen, nicht geheimen Datei oder Nachricht versteckt werden) einsetzt, um eine bösartige Nutzlast in ein PNG-Bild einzubetten.
APT29, auch bekannt als die Dukes, ist eine gut finanzierte und hoch organisierte Gruppe, die verdächtigt wird, seit mindestens 2008 Cyberspionage im Auftrag der russischen Regierung zu betreiben. Die Gruppe hat es vor allem auf Regierungen und Nichtregierungsorganisationen in Nordamerika und Europa abgesehen, aber auch Einrichtungen in Asien, Afrika und dem Nahen Osten wurden bereits angegriffen.
Die Gruppe verwendet häufig Cobalt Strike, Mimikatz und AdFind (ein kostenloses Befehlszeilen-Abfragetool, das zum Sammeln von Informationen aus Active Directory verwendet werden kann). Die Gruppe hat außerdem eine Reihe von benutzerdefinierten Tools entwickelt, zu denen unter anderem CloudDuke, CozyDuke und FatDuke gehören. Darüber hinaus ist bekannt, dass APT29 Sicherheitslücken in einigen Produkten ausnutzt, um auf die Systeme ihrer Opfer zuzugreifen.
Mustang Panda ist eine in China ansässige APT-Gruppe, die als Cyberspionage-Bedrohungsakteur identifiziert wurde. Die Gruppe wurde erstmals 2017 entdeckt und ist möglicherweise schon seit 2014 aktivxxxv. Mustang Panda hat ein breites Spektrum von Organisationen ins Visier genommen, darunter Regierungsbehörden, gemeinnützige Organisationen, religiöse Einrichtungen und Nichtregierungsorganisationen (NGOs) in Ländern auf der ganzen Welt, darunter die USA, Europa, die Mongolei, Myanmar, Pakistan und Vietnam.
Die Gruppe nutzt häufig China Chopper und PlugX für ihre Operationen. PlugX ist ein modulares RAT, das so konfiguriert werden kann, dass es sowohl HTTP als auch DNS für Command-and-Control-Aktivitäten (C2) nutzt. China Chopper ist eine Schadsoftware, die auf Webservern gehostet wird und unbefugten Zugriff auf das Netzwerk einer Organisation ermöglicht, ohne dass ein infiziertes Gerät mit einem Remote-C2-Server kommunizieren muss.
Das Threat Research and Intelligence Team von BlackBerry hat außerdem jüngste Aktivitäten entdeckt, bei denen Mustang Panda das weltweite Interesse am russisch-ukrainischen Krieg nutzte, um Ziele in Europa und im asiatisch-pazifischen Raum anzugreifen.
TA542
Gemeinsame MITRE-Techniken
| MITRE-Verfahren | Technik-ID | Taktik |
|---|---|---|
|
Suche nach Systeminformationen
|
T1082
|
Entdeckung
|
|
Prozess Injektion
|
T1055
|
Umgehung der Verteidigung
|
|
Virtualisierung/Sandbox-Umgehung
|
T1497
|
Umgehung der Verteidigung
|
|
Fernerkundung von Systemen
|
T1018
|
Entdeckung
|
|
Maskerade
|
T1036
|
Umgehung der Verteidigung
|
|
Protokoll der Anwendungsschicht
|
T1071
|
Befehl und Kontrolle
|
|
Software-Paketierung
|
T1027.002
|
Umgehung der Verteidigung
|
|
Entdeckung von Sicherheitssoftware
|
T1518.001
|
Entdeckung
|
|
Prozess Entdeckung
|
T1057
|
Entdeckung
|
|
Deaktivieren oder Ändern von Tools
|
T1562.001
|
Umgehung der Verteidigung
|
|
Anwendungsfenster Entdeckung
|
T1010
|
Entdeckung
|
|
Windows-Verwaltungsinstrumentierung
|
T1047
|
Ausführung
|
|
Abfrage des Registers
|
T1012
|
Entdeckung
|
|
Verdeckte Dateien oder Informationen
|
T1027
|
Umgehung der Verteidigung
|
|
Registry ändern
|
T1112
|
Umgehung der Verteidigung
|
|
Suche nach Dateien und Verzeichnissen
|
T1083
|
Entdeckung
|
|
Verschlüsselter Kanal
|
T1573
|
Befehl und Kontrolle
|
|
Interpreter für Befehle und Skripte
|
T1059
|
Ausführung
|
|
Rundll32
|
T1218.011
|
Umgehung der Verteidigung
|
|
Regsvr32
|
T1218.010
|
Umgehung der Verteidigung
|
| Technik-ID | |
|---|---|
| Suche nach Systeminformationen |
T1082
|
| Prozess Injektion |
T1055
|
| Virtualisierung/Sandbox-Umgehung |
T1497
|
| Fernerkundung von Systemen |
T1018
|
| Maskerade |
T1036
|
| Protokoll der Anwendungsschicht |
T1071
|
| Software-Paketierung |
T1027.002
|
| Entdeckung von Sicherheitssoftware |
T1518.001
|
| Prozess Entdeckung |
T1057
|
| Deaktivieren oder Ändern von Tools |
T1562.001
|
| Anwendungsfenster Entdeckung |
T1010
|
| Windows-Verwaltungsinstrumentierung |
T1047
|
| Abfrage des Registers |
T1012
|
| Verdeckte Dateien oder Informationen |
T1027
|
| Registry ändern |
T1112
|
| Suche nach Dateien und Verzeichnissen |
T1083
|
| Verschlüsselter Kanal |
T1573
|
| Interpreter für Befehle und Skripte |
T1059
|
| Rundll32 |
T1218.011
|
| Regsvr32 |
T1218.010
|
| Taktik | |
|---|---|
| Suche nach Systeminformationen |
Entdeckung
|
| Prozess Injektion |
Umgehung der Verteidigung
|
| Virtualisierung/Sandbox-Umgehung |
Umgehung der Verteidigung
|
| Fernerkundung von Systemen |
Entdeckung
|
| Maskerade |
Umgehung der Verteidigung
|
| Protokoll der Anwendungsschicht |
Befehl und Kontrolle
|
| Software-Paketierung |
Umgehung der Verteidigung
|
| Entdeckung von Sicherheitssoftware |
Entdeckung
|
| Prozess Entdeckung |
Entdeckung
|
| Deaktivieren oder Ändern von Tools |
Umgehung der Verteidigung
|
| Anwendungsfenster Entdeckung |
Entdeckung
|
| Windows-Verwaltungsinstrumentierung |
Ausführung
|
| Abfrage des Registers |
Entdeckung
|
| Verdeckte Dateien oder Informationen |
Umgehung der Verteidigung
|
| Registry ändern |
Umgehung der Verteidigung
|
| Suche nach Dateien und Verzeichnissen |
Entdeckung
|
| Verschlüsselter Kanal |
Befehl und Kontrolle
|
| Interpreter für Befehle und Skripte |
Ausführung
|
| Rundll32 |
Umgehung der Verteidigung
|
| Regsvr32 |
Umgehung der Verteidigung
|
Verhaltensmuster für gängige Techniken
| Technik | Verhaltensweisen |
|---|---|
|
Ermittlung von Systeminformationen - T1082
|
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
|
Prozess-Injektion - T1055
|
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
|
Virtualisierung/Sandbox-Umgehung - T1497
|
> timeout 5000
> Start-Sleep -s 100 > Prüfen auf Registrierungen von VMWare und VirtualBox |
|
Fernerkundung des Systems - T1018
|
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
|
Maskerade - T1036
|
> Umbenennung des Malware-Dateinamens in einen legitim klingenden Dateinamen
> Verwendung der Erweiterung .jpg für Binärdateien > Verwendung geplanter Aufgaben mit legitimen Namen wie win32times und andere |
| Verhaltensweisen | |
|---|---|
| Ermittlung von Systeminformationen - T1082 |
> wmic csproduct get UUID
> query user > tasklist | findstr "dll" > systeminfo >> output > date /t |
| Prozess-Injektion - T1055 |
> dllhost.exe
> rundll32.exe > explorer.exe > MSBuild.exe |
| Virtualisierung/Sandbox-Umgehung - T1497 |
> timeout 5000
> Start-Sleep -s 100 > Prüfen auf Registrierungen von VMWare und VirtualBox |
| Fernerkundung des Systems - T1018 |
> net group /domain admins
> nltest /domain_trusts /alltrusts > net view /all |
| Maskerade - T1036 |
> Umbenennung des Malware-Dateinamens in einen legitim klingenden Dateinamen
> Verwendung der Erweiterung .jpg für Binärdateien > Verwendung geplanter Aufgaben mit legitimen Namen wie win32times und andere |
MITRE D3FEND Gegenmaßnahmen
Das Verständnis gängiger Gegenmaßnahmen kann Unternehmen dabei helfen, ihre Verteidigungsstrategien zu verbessern und festzustellen, ob angemessene Sichtbarkeit und/oder Erkennungstechniken vorhanden sind. Gegenmaßnahmen können auf Betriebssystemereignissen (z. B. Prozessereignissen im System) oder Dateiereignissen (z. B. dem Erstellen, Ändern oder Löschen von Dateien) basieren.
Eine vollständige Liste der Angriffstechniken und zugehörigen Gegenmaßnahmen finden Sie in unserem GitHub-Repository. Wir empfehlen, nur Gegenmaßnahmen zu wählen, die Sie vollständig implementieren können und die den Anforderungen Ihres Unternehmens am besten entsprechen.
Die meisten soliden Angriffe
Zwischen dem 1. September und dem 30. November 2022 hat das Team von BlackBerry Threat Research and Intelligence die neuesten Informationen über die weltweite Cyberbedrohungslage verfolgt, aufgedeckt, recherchiert und veröffentlicht. Die Weltwirtschaft erholt sich noch immer von den Folgen der COVID-19-Pandemie, und die aktuellen geopolitischen Ereignisse in Osteuropa und die Ost-West-Beziehungen sind weiterhin unsicher. Diese Faktoren bilden einen fruchtbaren Boden für Bedrohungsakteure, die sowohl politisch motivierte als auch finanzielle Angriffe versuchen.
In diesem Quartal sahen wir APT-Gruppen mit staatlicher Beteiligung, finanziell motivierte Ransomware-Banden und viele andere Bedrohungsakteure aller Größen, Fähigkeiten und Motivationen, die mehrere Kampagnen durchführten. Nachfolgend finden Sie eine Auswahl der folgenreichsten Angriffe in der globalen Landschaft sowie unsere eigenen wichtigsten Funde des Quartals.
DJVU: Seltsam vertraute Ransomware
DJVU-Ransomware tarnt sich als legitime Dienste oder Anwendungen und wird oft mit Täuschungsdateien gebündelt, um harmlos zu erscheinen. Die DJVU-Ransomware ist eine Weiterentwicklung der berüchtigten STOP-Ransomware und hat seit ihrer Entstehung im Jahr 2018 viele Variationen erlebt. Die Ransomware verwendet für ihre Verschlüsselungsroutine die kryptografische Stromchiffre Salsa20. Nachdem sie zahlreiche Anti-Analyse- und Anti-Sandbox-Prüfungen durchgeführt hat, um zu bestätigen, dass sie auf einem echten System ausgeführt wird, verschlüsselt die Malware mehrere Dateitypen, bevor sie eine Lösegeldforderung mit Anweisungen für das Opfer zur Wiederherstellung seiner Dateien erstellt. Die Bedrohung wurde vor kurzem sogar noch schädlicher, als die Bedrohungsakteure der Ransomware Downloader-Funktionen für die Vorverschlüsselung hinzufügten.
In diesem Quartal hat DJVU Infostealer-Malware heruntergeladen und verteilt, offensichtlich in Zusammenarbeit mit den Bedrohungsgruppen, die hinter den Arkei-Varianten Vidar Stealer und Redline Stealer stecken.
Mustang Panda missbraucht legale Apps, um Opfer in Myanmar zu töten
Anfang Oktober haben wir die Ergebnisse einer mehrmonatigen Verfolgung der APT-Gruppe Mustang Panda veröffentlicht. Diese Gruppe, die auch als Bronze President, Red Delta und Honeymyte bekannt ist, wird öffentlich China zugeschrieben.
Während unserer Untersuchung haben wir eine Kampagne aufgedeckt, die auf Myanmar abzielte. Die Kampagne gab sich als populäre myanmarische Nachrichtenagenturen aus und zielte auf mehrere Einrichtungen ab, darunter ein staatliches VPN-Portal. Der Infektionsvektor in dieser Kampagne verwendete Phishing-Köder mit bösartigen Anhängen, die die Benutzer dazu verleiten, sie auszuführen, was den Angreifern ermöglicht, auf dem System Fuß zu fassen.
Die Ausführungskette enthielt mehrere Komponenten, darunter ein legitimes, gutartiges Dienstprogramm, das für das Hijacking der DLL-Suchreihenfolge anfällig ist, sowie einen bösartigen DLL-Loader und eine verschlüsselte DAT-Nutzlast. Nachdem der bösartige DLL-Loader sideloaded wurde, wird eine PlugX-Nutzlast in den Speicher geladen. Der Infektionsvektor, die Ausführungskette, die Verwendung von PlugX und die allgemeinen TTPs entsprechen der bewährten Kampagnenmethodik von Mustang Panda.
BianLian Ransomware verschlüsselt Dateien in einem Wimpernschlag
BianLian ist eine extrem schnell agierende Ransomware, die in der Programmiersprache Go (GoLang) geschrieben wurde. In diesem Whitepaperhaben wir die derzeitige Zunahme der böswilligen Nutzung von weniger verbreiteten Sprachen wie GoLang vorausgesagt. Bedrohungsakteure erkennen das Potenzial dieser Sprachen für die Erstellung von Malware, insbesondere von maßgeschneiderter Ransomware. GoLang bietet eine besonders robuste Unterstützung für Gleichzeitigkeit, die Angriffe beschleunigen kann, da mehrere bösartige Funktionen unabhängig voneinander zur gleichen Zeit ausgeführt werden können.
BianLian ist eine relativ neue Bedrohung, die es auf eine Vielzahl von Branchen abgesehen hat. Die Gruppe hinter der Malware scheint rein finanziell motiviert zu sein, und die Angriffe im Zusammenhang mit BianLian hielten bis Ende 2022 an. Die Gruppe scheint die Systeme und Netzwerke, auf die sie zugreift, stark auszunutzen. Ihre typische Einsatzmethode ist die manuelle Infiltration von Systemen, um einen ersten Zugang zu erhalten, gefolgt vom Missbrauch von LOLBins zur Erkundung der Netzwerke und Systeme. Nachdem sie diese Informationen gesammelt haben, setzen sie ihre Ransomware ein, um finanziellen Gewinn zu erzielen.
Nicht zugeordneter RomCom-Bedrohungsakteur, der beliebte Apps nachahmt, trifft jetzt das ukrainische Militär
Im Oktober entdeckte BlackBerry das bisher unbekannte RomCom RAT, das auf ukrainische Militäreinrichtungen abzielt. Derselbe Bedrohungsakteur war dafür bekannt, gefälschte Versionen der beliebten Advanced IP Scanner-Software einzusetzen, bevor er seine Bemühungen auf PDF Filler (eine weitere beliebte Anwendung) verlagerte und diese Exploits möglicherweise selbst entwickelt hat.
Das RomCom RAT versucht, die Kontrolle über die betroffenen Geräte zu übernehmen. Der erste Infektionsvektor, den wir beobachteten, war eine E-Mail mit einem eingebetteten Link zu einem gefälschten ukrainischen Dokument namens Наказ_309.pdf (Order_309.pdf auf Englisch), das den Downloader der nächsten Stufe abwarf.
Während des Berichtszeitraums wurde beobachtet, dass dieser Bedrohungsakteur aktiv neue Techniken entwickelt, die auf Opfer in aller Welt abzielen.
RomCom-Bedrohungsakteur missbraucht beliebte Software-Marken, um die Ukraine und möglicherweise das Vereinigte Königreich anzugreifen
Nach einer Reihe von Angriffen auf die Ukraine startete dieselbe Gruppe neue Angriffskampagnen, die sich beliebte Software-Marken zunutze machten. Das BlackBerry Threat Research and Intelligence Team entdeckte die Kampagnen bei der Analyse von Netzwerkartefakten, die bei unseren früheren Untersuchungen zu RomCom RAT identifiziert wurden.
Unsere Forscher fanden heraus, dass sich die Bedrohungsakteure in ihren Kampagnen als SolarWinds Network Performance Monitor, KeePass Open-Source Password Manager und PDF Reader Pro ausgaben. Die Kampagnen nutzten diese legitimen Unternehmen als Fassade und entwarfen gefälschte Websites, die die echten nachahmen, um die Opfer zum Herunterladen der Remcos RAT-Malware zu verleiten. Der RomCom-Bedrohungsakteur hat weiterhin aktiv neue Kampagnen durchgeführt, die auf Opfer in der Ukraine abzielen, und könnte in seiner jüngsten Angriffsserie auf englischsprachige Ziele weltweit expandieren.
ARCrypter Ransomware dehnt seine Aktivitäten von Lateinamerika auf die ganze Welt aus
Das BlackBerry Threat Investigation Team hat die ARCrypter-Ransomware-Familie das ganze Jahr 2022 über beobachtet. Im August wurde eine unbekannte Variante ( BlackBerry ) mit dem Namen ARCrypter entdeckt, die auf lateinamerikanische Einrichtungen abzielt. INVIMA (Kolumbiens Nationales Lebensmittel- und Arzneimittelüberwachungsinstitut) wurde im Oktober aufgrund eines gemeldeten Cyberangriffs vorübergehend abgeschaltetxxxvi.
Im Rahmen unserer Suche nach Bedrohungen identifizierte BlackBerry weitere Muster, die für diese Ransomware von Interesse sind. Angesichts des Zeitrahmens des Angriffs und des Inhalts der Lösegeldforderung, in der INVIMA erwähnt wird, kamen wir mit hoher Sicherheit zu dem Schluss, dass die ARCrypter-Ransomware bei dem INVIMA-Cyberangriff verwendet wurde. Durch weitere Nachforschungen konnten wir zwei Dateisätze aufdecken: einen zusätzlichen Malware-Dropper und einen Dateiverschlüsseler.
Mustang Panda nutzt den russisch-ukrainischen Krieg für Angriffe auf Ziele in Europa und im asiatisch-pazifischen Raum
Im Dezember entdeckte unsere kontinuierliche Überwachung von Mustang Panda eine Kampagne, die auf Unternehmen in mehreren Ländern und Kontinenten abzielte.
Diese Kampagne stützte sich auf thematische Köder (wie eine Datei mit dem Titel "Political Guidance for the New EU Approach Towards Russia.rar"), die sich auf aktuelle geopolitische Ereignisse bezogen. Der Köder enthielt ein Täuschungsdokument und eine LNK-Datei, die der gleichen Namenskonvention folgte wie die RAR-Datei des Köders. Zu den weiteren Komponenten gehörten legitime Dienstprogramme, die für die Entführung von DLL-Suchaufträgen anfällig sind, bösartige DLL-Lader und DAT-Nutzdaten, die Komponenten ähneln, die die Gruppe in der Vergangenheit verwendet hat.
Das Ziel der Ausführungskette ist es, eine PlugX-Nutzlast in den Speicher des Hostsystems zu übertragen, die den kompromittierten Hosts vollständige Fernzugriffsmöglichkeiten bietet.
Obwohl die zentrale Ausführungskette und die TTPs dieser Kampagne bereits bekannt waren, wiesen diese Angriffe subtile Änderungen auf, einschließlich einer kleinen Änderung im Ausführungsablauf, so dass die Funktion EnumSystemCodePagesW anstelle von EnumThreadWindows für die Ausführung von Shellcode verwendet wurde. Diese bescheidene Änderung erforderte Anpassungen der Abwehrmaßnahmen und Gegenmaßnahmen, um einen möglichst wirksamen Schutz zu gewährleisten.
Durch Abzweigung eines eindeutigen Domain-SSL-Zertifikats konnten wir 15 weitere IP-Adressen aufdecken, von denen fünf C2-Server für die Mustang-Panda-Gruppe waren, die ähnliche Dateien, die derselben Angriffskette und denselben TTPs entsprechen, an weitere Standorte und Opfer weiterleiten.
Die globale Reichweite der Kampagnen deutet darauf hin, dass die Gruppe über mächtige Ressourcen und Fähigkeiten verfügt. Wir gehen davon aus, dass dies nicht ihr letzter Angriff sein wird.
Zusätzliche Angriffe
Emotet ist eine ausgeklügelte und sich ständig weiterentwickelnde Malware-Familie, die erst im November 2022 wieder ins Rampenlicht rückte. Die Malware, die der kriminellen Vereinigung TA542 zugeschrieben wird und auch als Heodo oder Geodo bekannt ist, hat seit ihrer Entstehung im Jahr 2014xxxvii viele Variationen erlebt.
Emotet wird per E-Mail zugestellt und ist häufig ein trojanisiertes Microsoft® Excel®-Dokument. Er setzt auf Täuschung, um das Opfer dazu zu bringen, den Anhang zu öffnen und Pop-up-Sicherheitswarnungen zu ignorieren. Die Ziele von Emotet können sehr unterschiedlich sein, und die Köderdokumente geben sich als eine Reihe von Themen in verschiedenen Sprachen und Regionen aus. Wenn ein Opfer die Warnungen ignoriert und die Ausführung der gefälschten Dokumente zulässt, versucht die Malware, die beabsichtigte Nutzlast herunterzuladen. Nachdem die Malware installiert ist, kann sie eine Vielzahl von Funktionen ausführen, darunter das Ablegen und Verteilen zusätzlicher Malware.
Anfang Dezember wurden Einzelheiten über CryWiper, einen neuen Malware-Wiper, bekannt. CryWiper ist einzigartig, da es speziell für den Angriff auf Einrichtungen in Russland, darunter Gerichte und Bürgermeisterämter, entwickelt und eingesetzt wurdexxxviii.
Auf den ersten Blick verhält sich CryWiper wie typische Ransomware: Es entfernt Systemschattenkopien, um die Wiederherstellung betroffener Dateien zu verhindern; es verschlüsselt die betroffenen Dateien und hängt die Erweiterung .CRY an; und es hinterlässt eine Lösegeldnotiz README.txt, die Anweisungen für die Zahlung des Lösegelds zur Wiederherstellung der Dateien enthält. CryWiper ist jedoch keine Ransomware: Es ist ein Wiper. Wie alle Wiper hat CryWiper das Ziel, Dateien auf den Zielsystemen zu beschädigen und zu zerstören, so dass sie auf keinen Fall wiederhergestellt werden können, selbst wenn das Lösegeld bezahlt wird.
CryWiper erreicht diesen Grad der Dateiverwüstung durch den Einsatz von Mersenne Vortex, einem Pseudozufallszahlengenerator (PRNG), der den ursprünglichen Inhalt der Dateien ohne Hoffnung auf Wiederherstellung überschreibt und zerstört.
Schlussfolgerungen und Prognosen für Q1 2023
Das vergangene Quartal (und das Jahr 2022 im Allgemeinen) hat wichtige Trends im Bereich der Cybersicherheit aufgezeigt, die sich wahrscheinlich im Jahr 2023 und darüber hinaus fortsetzen werden. Die Zahl der politisch motivierten Bedrohungsakteure nimmt weiter zu. Zu den Bedrohungen gehören die Verbreitung von Fehlinformationen und Desinformationen über Fake-News-Websites, die Verfolgung der Handlungen und des Verhaltens von Journalisten und Dissidenten sowie versuchte direkte Angriffe auf Regierungs- und Militäreinrichtungen.
Die Bedrohungsakteure setzten eine Reihe von Methoden ein, darunter neu identifizierte Tools und Techniken sowie Modifikationen bestehender Tools, die es ihnen ermöglichen, sich der Erkennung besser zu entziehen. Die Zunahme gezielter Angriffe in der Automobil-, Gesundheits- und Finanzbranche wirft ein grelles Licht auf die dringende Notwendigkeit, die ausgedehnten und anfälligen Bedrohungsoberflächen dieser Branchen zu schützen.
Um Ihr Unternehmen vor Malware und Cyberangriffen zu schützen, müssen Sie genau wissen, wie Bedrohungsakteure Ihre Branche ins Visier nehmen, welche Tools sie verwenden und welche Motive sie möglicherweise verfolgen. Dieses detaillierte Wissen liefert kontextbezogene, vorausschauende und umsetzbare Informationen über Cyberbedrohungen, die die Auswirkungen von Bedrohungen auf Ihr Unternehmen verringern können.
Gelernte Lektionen/Merkwürdigkeiten
- Neben der finanziellen Motivation haben es immer mehr Bedrohungsakteure auf der Grundlage wirtschaftlicher, geopolitischer und gesellschaftlicher Umstände auf individuelle und institutionelle Opfer abgesehen. Verteidiger müssen proaktiv die möglichen Auswirkungen wirtschaftlicher und politischer Entwicklungen auf die Cybersicherheit berücksichtigen.
- Bedrohungsakteure verwenden zunehmend weniger verbreitete oder exotische Programmiersprachen wie GoLang und Rust, um neue Malware zu entwickeln. Bedrohungsjäger müssen wachsam bleiben und lernen, wie sich die Verwendung neuer Programmiersprachen in Angriffen manifestieren kann. Da GoLang plattformübergreifende Kodierung unterstützt, könnten in Zukunft mehr Angriffe auf Linux und macOS erfolgen.
- Ein breiterer Zugang zu Tools für den Erstzugriff führte 2022 zu größeren Vorfällen, ebenso wie die Verfügbarkeit von Ransomware als verwalteter Dienst für Gruppen, die nicht über ausreichende technische Fähigkeiten zur Erstellung eigener Malware verfügen. Infolgedessen nahm die Nutzung von Ransomware durch nationalstaatliche Akteure zu.
- Die Automobilindustrie war im Jahr 2022 stark von einer Vielzahl von Cyberangriffen betroffen. Die Kompromittierung großer Hersteller und Zulieferer der Branche führte zum Stillstand zahlreicher Produktionslinien. Diese Reihe von Angriffen wird sich wahrscheinlich auch 2023 fortsetzen.
- Angriffe auf die Lieferkette, bei denen legitime Anwendungen zur Übermittlung bösartiger Nutzdaten missbraucht werden, können durch die Implementierung von Zero-Trust-Richtlinien, die eine kontinuierliche Authentifizierung und Autorisierung für den Zugriff auf Netzwerke und Anwendungen erfordern, abgeschwächt und sogar verhindert werden.
Q1 2023 Vorhersage
- Ein wesentliches Merkmal der russischen Invasion in der Ukraine waren bisher Cyberangriffe auf die ukrainische militärische und zivile Infrastruktur. Wenn die Feindseligkeiten andauern, wird sich dieses Muster der gezielten Cyberangriffe wahrscheinlich wiederholen.
- Ransomware-Operationen, die auf Krankenhäuser und medizinische Einrichtungen abzielen, werden fortgesetzt, insbesondere in Ländern, die die Ukraine unterstützen oder finanzieren.
- Cyberangriffe auf kritische Infrastrukturen werden weitergehen. AI könnte zunehmend nicht nur für die Automatisierung von Angriffen, sondern auch für die Entwicklung fortgeschrittener Deepfake-Angriffe genutzt werden.
- Angriffe auf europäische Finanzinstitute, wie der Angriff auf Revolut (ein beliebtes Fintech-Unternehmen und eine App) mit Sitz in Großbritannien im September 2022, bei dem mehr als 50.000 Kundendatensätze kompromittiert wurden, könnten ebenfalls weitergehen.
- In Nord- und Südamerika erwarten wir eine explosionsartige Zunahme kommerzieller Spyware-Angriffe auf Mobilgeräte. Wir gehen davon aus, dass Bedrohungsakteure in Brasilien ihre Trojaner-Banking-Angriffe von Desktop-Systemen auf mobile Geräte ausweiten und weiterhin Opfer in Lateinamerika ins Visier nehmen werden. Tatsächlich wurde im Dezember 2022 die BrasDex-Malware-Familiexxxix entdeckt, die speziell auf brasilianische Banken abzielt, darunter auch auf PIX, ein Zahlungssystem, das dem US-amerikanischen Zelle ähnelt.
- Angriffe auf Linux-Systeme werden möglicherweise weiterhin unter dem Radar bleiben, insbesondere solche, die Systeme virtualisieren, Ransomware einschleusen und Backdoors auf den Zielsystemen installieren.
- Wir erwarten mehr gezielte Angriffe auf Cloud-Infrastrukturen in allen Branchen, da Bedrohungsakteure versuchen, mehr Einblick in die Organisationen zu erhalten, die sie zu untergraben oder aus denen sie Profit schlagen wollen.
Ressourcen
Öffentliche Indikatoren für Kompromisse (IoCs)
Öffentliche Regeln
Gemeinsame MITRE-Techniken
MITRE D3FEND Gegenmaßnahmen
©2023 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, EMBLEM Design und CYLANCE sind Marken oder eingetragene Marken von BlackBerry Limited, seinen Tochtergesellschaften und/oder verbundenen Unternehmen, die unter Lizenz verwendet werden, und die exklusiven Rechte an diesen Marken sind ausdrücklich vorbehalten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. BlackBerry ist nicht verantwortlich für Produkte oder Dienstleistungen Dritter. Dieses Dokument darf ohne die ausdrückliche schriftliche Genehmigung von BlackBerry Limited weder ganz noch teilweise geändert, reproduziert, übertragen oder kopiert werden.
Haftungsausschluss: Die in diesem Bericht enthaltenen Informationen sind ausschließlich für Bildungszwecke bestimmt. BlackBerry übernimmt keine Garantie oder Verantwortung für die Richtigkeit, Vollständigkeit und Verlässlichkeit von Aussagen oder Untersuchungen Dritter, auf die hier Bezug genommen wird. Die in diesem Bericht enthaltenen Analysen spiegeln den aktuellen Kenntnisstand unserer Analysten wider und können sich ändern, wenn uns zusätzliche Informationen bekannt werden. Die Leser sind selbst dafür verantwortlich, diese Informationen mit der gebotenen Sorgfalt auf ihr privates und berufliches Leben anzuwenden. BlackBerry duldet keinen böswilligen Gebrauch oder Missbrauch der in diesem Bericht enthaltenen Informationen.
Referenzen
i https://www.uber.com/newsroom/security-update/
iii https://www.developer.com/news/90-of-the-public-cloud-runs-on-linux/
iv https://sysdig.com/blog/malware-analysis-shellbot-sysdig/
v https://threatpost.com/sysrv-k-botnet-targets-windows-linux/179646/
vi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22947
vii https://yoroi.company/research/outlaw-is-back-a-new-crypto-botnet-targets-european-organizations/
viii https://sandflysecurity.com/blog/log4j-kinsing-linux-malware-in-the-wild/
ix https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228
xi https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14882
xii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26134
xiii https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725
xiv https://twitter.com/MsftSecIntel/status/1542281836742729733
xvii https://www.juniperresearch.com/press/in-vehicle-commerce-opportunities-exceed-775mn
xviii https://www.lv.com/insurance/press/keyless-technology-drives-rise-in-theft-over-past-four-years
xx https://www.bbc.com/news/uk-england-39906534
xxi https://attack.mitre.org/groups/G0050/
xxii https://resources.infosecinstitute.com/topic/biggest-data-breaches-of-2019-so-far/
xxiii https://www.zdnet.com/article/bmw-and-hyundai-hacked-by-vietnamese-hackers-report-claims/
xxiv https://www.zdnet.com/article/europes-biggest-car-dealer-hit-with-ransomware-attack/
xxv https://www.broshuis.com/news/ransomware-attack
xxvii https://europe.autonews.com/automakers/toyota-suspend-output-japan-after-supplier-hit-cyberattack
xxviii https://www.nhtsa.gov/press-releases/nhtsa-updates-cybersecurity-best-practices-new-vehicles
xxx https://www.cisa.gov/emergency-directive-21-02
xxxi https://asec.ahnlab.com/en/27346/
xxxii https://malpedia.caad.fkie.fraunhofer.de/details/elf.rekoobe
xxxiv https://www.securitymagazine.com/articles/97489-blackcat-alphv-ransomware-breaches-60-organizations
xxxv https://attack.mitre.org/groups/G0129/
xxxvi https://twitter.com/invimacolombia/status/1577455552954712064?s=20&t=JYJsQ6PFhxBv3YHim_PQrw
xxxvii https://malpedia.caad.fkie.fraunhofer.de/actor/mummy_spider
xxxix https://thehackernews.com/2022/12/beware-cybercriminals-launch-new.html