![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die Cybersecurity and Infrastructure Security Agency (CISA) hat gerade einen Bericht \u00fcber einen erfolgreichen Cyber-Angriff auf eine (ungenannte) US-Bundesbeh\u00f6rde (Federal Agency) ver\u00f6ffentlicht. Wahrscheinlich wurde ein Pulse VPN gehackt, denn zog man Daten aus Office 365 ab und nutzte diese f\u00fcr weitere Aktionen. <\/p>\n
<\/p>\n
Der CISA wurde – \u00fcber EINSTEIN, das Einbruchserkennungssystem des CISA, auf eine m\u00f6gliche Gef\u00e4hrdung des Netzwerks einer Bundesbeh\u00f6rde aufmerksam. EINSTEIN \u00fcberwacht Netzwerke von US-Bundesbeh\u00f6rden. In Abstimmung mit der betroffenen Beh\u00f6rde f\u00fchrte die CISA eine Analyse des Vorfalls durch und best\u00e4tigte b\u00f6swillige Aktivit\u00e4ten. <\/p>\n Die CISA-Analyse gibt an, dass die Eindringliche verschiedene Zugangskan\u00e4le zu den internen Netzwerken der Bundesbeh\u00f6rde verwendeten. Dazu geh\u00f6ren die Verwendung kompromittierter Anmeldeinformationen f\u00fcr Microsoft Office 365 (O365)-Konten, \u00fcber die wohl der Angriff begann: <\/p>\n The cyber threat actor had valid access credentials for multiple users' Microsoft Office 365 (O365) accounts and domain administrator accounts, which they leveraged for Initial Access<\/em> [TA0001<\/a>] to the agency's network (Valid Accounts<\/em> [T1078<\/a>]). First the threat actor logged into a user's O365 account from Internet Protocol (IP) address Die Hacker hatten initial Zugriff auf mehrere Microsoft Office 365-Konten. Es gab aber auch einen Missbrauch von Anmeldedaten von Dom\u00e4nenadministratorkonten. Es wurden auch Anmeldeinformationen f\u00fcr den Pulse Secure VPN-Server der US-Bundesbeh\u00f6rde zum Zugriff auf die Netzwerke verwendet.<\/p>\n Es ist unklar, wie die Angreifer in den Besitz dieser Anmeldedaten kamen. Laut CISA ist es m\u00f6glich, dass der Cyber-Akteur die Berechtigungsnachweise von einem nicht gepatchten VPN-Server einer Agentur erhielt, indem er eine bekannte Schwachstelle (CVE-2019-11510) in Pulse Secure (Exploitation for Credential Access) ausnutzte.<\/p>\n Die Analysten der CISA konnten die Vorgehensweise der Hacker nachvollziehen. Zun\u00e4chst meldete sich der Angreifer beim Office 365-Konto eines Benutzers an und durchsuchte dann Seiten auf einer SharePoint-Website und lud eine Datei herunter. Danach erkundete der Angreifer ein E-Mail-Konto aus Office 365 (wohl Outlook) und sah sich Helpdesk-E-Mail-Anh\u00e4nge mit \"Intranet-Zugang\" und \"VPN-Passw\u00f6rtern\" in der Betreffzeile an. Diese wurden dann heruntergeladen, obwohl der Angreifer bereits \u00fcber einen privilegierten Zugang verf\u00fcgte.<\/p>\n Der Hacker meldete sich \u00fcber das Remote Desktop Protocol (RDP) erneut in E-Mail-Konto ein. Anschlie\u00dfend listete er die den Gruppenrichtlinienschl\u00fcssel auf und \u00e4nderte einen Registrierungsschl\u00fcssel f\u00fcr die Gruppenrichtlinie zur Kontomanipulation. Unmittelbar danach benutzte der Bedrohungsakteur Microsoft Windows-Befehlszeilenprozesse – host, ipconfig, net, query, netstat, ping und whoami, plink.ex -, um das kompromittierte System und Active Directory-Netzwerk zu studieren. <\/p>\n Um schneller auf das Netzwerk der Bundesbeh\u00f6rde zuzugreifen, installierten die Hacker einen SSH-Tunnel und einen Reverse-SOCKS-Proxy, sowie benutzerdefinierte Malware. Zudem verbanden sie eine von ihnen kontrollierte Festplatte als lokal installierte Remote-Freigabe mit dem Netzwerk der Beh\u00f6rde. \"Die gemountete Dateifreigabe erm\u00f6glichte es dem Akteur, sich w\u00e4hrend seiner Operationen frei zu bewegen, w\u00e4hrend weniger Artefakte f\u00fcr die forensische Analyse \u00fcbrig blieben\", schrieben die CISA-Analysten.<\/p>\n Der Angreifer richtete sich sein lokales Konto im Netzwerk durch, um dieses durchsuchen zu k\u00f6nnen und PowerShell-Befehle auszuf\u00fchren. Weiterhin wurden wichtige Dateien in ZIP-Archiven gesammelt. Die CISA schreibt, dass sie nicht best\u00e4tigen k\u00f6nne, ob der Angreifer die ZIP-Archive exfiltriert hat, gehen aber davon aus, dass dies am Ende h\u00f6chstwahrscheinlich passiert sei. Die CISA schreibt auch, dass die von den Hackern im Netzwerk der Bundesbeh\u00f6rde installierte Malware inetinfo.exe <\/em>den Anti-Malware-Schutz der Beh\u00f6rde austricksen konnte. <\/p>\n Die gesamte Analyse ist bei Interesse hier abrufbar<\/a>. Der Fall zeigt, dass der 'Verlass auf eine Antivirus-L\u00f6sung' kein Schutz gegen Eindringlinge ist, zumal wenn diese \u00fcber Ger\u00e4te oder Produkte mit Sicherheitsl\u00fccken an Anmeldedaten gelangen. Immerhin hat das Einbruchserkennungssystem EINSTEIN des CISA den Angriff erkannt und gemeldet. <\/p>\n","protected":false},"excerpt":{"rendered":" Die Cybersecurity and Infrastructure Security Agency (CISA) hat gerade einen Bericht \u00fcber einen erfolgreichen Cyber-Angriff auf eine (ungenannte) US-Bundesbeh\u00f6rde (Federal Agency) ver\u00f6ffentlicht. Wahrscheinlich wurde ein Pulse VPN gehackt, denn zog man Daten aus Office 365 ab und nutzte diese f\u00fcr … Weiterlesen Die Cybersecurity and Infrastructure Security Agency (CISA) hat zu diesem Vorgang das Dokument Analysis Report (AR20-268A)<\/a> ver\u00f6ffentlicht. Der Name der gehackten Bundesbeh\u00f6rde, das Datum des Hacks oder irgendwelche Details \u00fcber den Eindringling wurden nicht bekannt gegeben. Interessanter d\u00fcrften aber die Informationen aus der Analyse sein, die durch ThreadPost<\/a> und ZDNet<\/a> aufbereitet wurden. <\/p>\n
Intrusion Detection-System EINSTEIN erkennt den Angriff<\/h2>\n
Angreifer nutzte Zugangsdaten<\/h2>\n
\n
91.219.236[.]166<\/code> and then browsed pages on a SharePoint site and downloaded a file (Data from Information Repositories: SharePoint<\/em> [T1213.002<\/a>]). The cyber threat actor connected multiple times by Transmission Control Protocol (TCP) from IP address 185.86.151[.]223<\/code> to the victim organization's virtual private network (VPN) server (Exploit Public-Facing Application<\/em> [T1190<\/a>]).<\/p>\n<\/blockquote>\nPfad der Eindringlinge<\/h2>\n