{"id":264961,"date":"2022-05-05T11:26:09","date_gmt":"2022-05-05T09:26:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=264961"},"modified":"2022-05-06T02:08:33","modified_gmt":"2022-05-06T00:08:33","slug":"revil-zurck-neue-bumblebee-malware-iot-gerte-als-schwachstelle-dns-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/05\/revil-zurck-neue-bumblebee-malware-iot-gerte-als-schwachstelle-dns-problem\/","title":{"rendered":"Revil zurück? Neue Bumblebee-Malware, IoT-Geräte als Schwachstelle (DNS-Problem)"},"content":{"rendered":"

\"Sicherheit[English]Heute ist \"World Password Day\". Daher noch ein kleiner Sammelbeitrag in Punkto IT-Sicherheit, der aber wenig mit Passw\u00f6rtern zu tun hat (das Thema habe ich die letzten Jahre oft adressiert). Es sieht so aus, als ob die Akteure der Revil Ransomware-Gruppe wieder zur\u00fcck sind und erneut aktiv werden. Dann wurde eine neue, Bumblebee genannte, Malware entdeckt. Und IoT-Ger\u00e4te erweisen sich als Schwachstelle zum Einfall in Netzwerke. Es gab einen Sicherheitsvorfall, bei dem IoT-Kameras als C&C-Server missbraucht wurden. Mandiant hat den Fall aufgedeckt, bei dem Exchange kompromittiert und E-Mails abgezogen wurden. Zudem wurde ein DNS-Bug entdeckt, der Millionen IoT-Ger\u00e4te anf\u00e4llig macht. Diverse Ger\u00e4te sind anf\u00e4llig f\u00fcr RCE-Angriffe.<\/p>\n

<\/p>\n

REvil scheint zur\u00fcck zu sein<\/h2>\n

\"\"Die REvil-Gruppe war f\u00fcr zahlreiche Ransomware-Angriffe auf US-Firmen und Organisationen, aber auch auf Opfer au\u00dferhalb der USA verantwortlich. Ich hatte hier im Blog h\u00e4ufiger \u00fcber deren Aktionen berichtet. Es war auch schon berichtet worden, dass deren Infrastruktur abgeschaltet worden sei (siehe Server und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>). Aber die Gruppe wurde wieder aktiv und verschwand wieder. Die letzte Meldung hier im Blog lautet, dass die Gruppe in Russland durch deren Inlandsgeheimdienst zerschlagen worden sei (siehe REvil-Ransomware-Gruppe in Russland durch FSB zerschlagen<\/a>).<\/p>\n

\"REvil<\/a><\/p>\n

Aber auch dies scheint nicht von Dauer gewesen zu sein. Unter anderem haben die Kollegen von Bleeping Computer bereits in obigem Tweet<\/a> und vom 1. Mai 2022 auf diesen Sachverhalt hingewiesen. Knapp zusammen gefasst: Die REvil-Tor-Infrastruktur funktioniert wieder, wobei Besucher aber auf neue URLs f\u00fcr nicht benannte Ransomware-Operationen umgeleitet werden. Sieht zwar nicht wie die fr\u00fcheren REvil-Webseiten aus. Aber es gibt einige Indizien, dass Akteure aus der Gruppe wieder mit Aktivit\u00e4ten beginnen.<\/p>\n

Es gab zwar Ransomware-Operationen, die gepatchte Versionen des REvil-Verschl\u00fcsselers verwendeten. Nun wurden aber Malware-Kampagnen entdeckt, die offenbar Verschl\u00fcsselungsmodule der REvil-Gruppe aufweisen, die aus dem urspr\u00fcnglichen Quellcode stammen und weiter entwickelt wurden. Details lassen sich in diesem Artikel<\/a> der Kollegen nachlesen.<\/p>\n

DLL-Hijacking-Schwachstellen in Malware ausnutzbar?<\/h3>\n

Es gibt wohl auch eine gute Nachricht in diesem Themenfeld, auf die die Kollegen von Bleeping Computer in diesem Tweet<\/a> und diesem Beitrag<\/a> hinweisen.<\/p>\n

\"Bugs<\/a><\/p>\n

Die von Ransomware-Gangs wie Conti, REvil, Black Basta, LockBit oder AvosLocker wiesen allesamt Bugs und Schwachstellen auf, die von Sicherheitssoftware ausgenutzt werden konnte, um die Dateiverschl\u00fcsselung, zu verhindern. Der Sicherheitsforscher mit dem Twitter Alias hyp3rlinx<\/a> weist in diversen Tweets darauf hin, dass die Ransomware anf\u00e4llig f\u00fcr DLL-Hijacking ist. Sofern also die Namen der DLLs bekannt sind, k\u00f6nnte eine Sicherheitssoftware gleichnamige DLLs beispielsweise im Download<\/em>-Ordner platzieren und die Malware-Operationen aushebeln. Details lassen sich hier<\/a> nachlesen.<\/p>\n

Neuer BumbleBee-Loader<\/h2>\n

Sicherheitsforscher sind bei der Analyse von Malware auf einen neuen, BumbleBee genannten Loader gesto\u00dfen. Nachfolgender Tweet<\/a> weist auf einen Bericht von Proofpoint<\/a> hin, die den neuen Malware-Loader in den letzten Wochen bei Angriffen entdeckten.<\/p>\n

\"BumbleBee-Loader\"<\/a><\/p>\n

Der neue Loader wird von mehreren Cybergangs verwendet, die vorher\u00a0 BazaLoader und IcedID verwendeten. BazaLoader wurde von Proofpoint seit Februar 2022 nicht mehr in Kampagnen nachgewiesen. Der Bumblebee-Loader befindet sich in aktiver Entwicklung und verf\u00fcgt \u00fcber ausgefeilte Umgehungstechniken vor Entdeckung durch Sicherheitssoftware, die eine komplexe Anti-Virtualisierung beinhalten.<\/p>\n

So werden HTML-Anh\u00e4nge mit einem Link verwendet, der die Opfer \u00fcber ISO-Dateien zum Download umleiten und \u00fcber .lnk-Dateien auf Malware-Seiten umleiten (siehe auch meinen Artikel SANS ISC warnt: B\u00f6sartige ISO-Datei in HTML-Seite eingebettet (Jan 2022)<\/a> vom Januar 2022). Die ISO-Dateien enthalten dann die .lnk-Dateien zur Umleitung auf Malware-Funktionen, um die Systeme zu infizieren. Im Gegensatz zu den meisten anderen Schadprogrammen, die Process Hollowing oder DLL-Injektion verwenden, nutzt dieser Loader eine asynchrone Prozeduraufruf-Injektion (APC), um den Shellcode aus den Befehlen zu starten, die er von der Command and Control (C2) erh\u00e4lt, schreiben die Sicherheitsforscher. Proofpoint beobachtete, dass Bumblebee Cobalt Strike, Shellcode, Sliver und Meterpreter ausf\u00fchrt. Details sind dem Beitrag von Proofpoint<\/a> zu entnehmen.<\/p>\n

\"BumbleBee<\/p>\n

Virus Bulletin weist in obigem Tweet und diesem Artikel auf die Analyse des BumbleBee-Loaders hin. Ich f\u00fcrchte, wir werden da noch einiges von \"der Hummel\" (BumbleBee) h\u00f6ren.<\/p>\n

Sicherheitsrisiko IoT-Ger\u00e4te<\/h2>\n

Es kristallisiert sich inzwischen immer st\u00e4rker heraus, dass IoT-Ger\u00e4te im Netzwerk das Sicherheitsrisiko f\u00fcr Angriffe stark erh\u00f6hen. Im November 2021 hatte heise in diesem Beitrag<\/a> darauf hingewiesen, dass Schwachstellen im IoT-Protokoll Industriesteuerungen und Prozessleitsysteme anf\u00e4llig f\u00fcr Angriffe machen. Von Microsoft gibt es diesen Beitrag<\/a> zur Absicherung von Industrieanlagen. Und im Sommer 2021 gab es hier im Blog den Beitrag Gef\u00e4hrden IoT-Ger\u00e4te mit eingebauten \"Radio-Chips\" die IT-Sicherheit<\/a>. Die Tage sind mir weitere Meldungen zum Thema IoT-Sicherheit untergekommen.<\/p>\n

DNS-Bug als Risiko f\u00fcr IoT-Ger\u00e4te<\/h3>\n

Ein Blog-Leser hatte mich bereits auf das Thema hingewiesen. Sicherheitsforscher sind in einer Bibliothek auf einen Schwachstelle in den DNS-Funktionen gesto\u00dfen, die Millionen IoT-Ger\u00e4te betrifft. Die Schwachstelle in der DNS-Komponente (Domain Name System) kann f\u00fcr DNS-Poisoning oder DNS-Spoofing ausgenutzt werden. Dies erm\u00f6glicht Angreifern, Opfer auf eine von diesen kontrollierte, b\u00f6sartige Website umzuleiten.<\/p>\n

Die Schwachstelle findet sich in der Bibliothek uClibc (<\/em>Fork vom OpenWRT-Team uClibc-ng<\/em> ist auch betroffen). Beide Bibliotheken werden von gro\u00dfen Anbietern wie Netgear, Axis und Linksys sowie von Linux-Distributionen, die f\u00fcr eingebettete Anwendungen geeignet sind, h\u00e4ufig verwendet. Die Kollegen von Bleeping Computer weisen in diesem Beitrag auf dieses Problem<\/a> hin.<\/p>\n

Spione nutzen IoT-Kameras als C&C-Server, stehlen Exchange-E-Mails<\/h3>\n

Gerade wurde von Mandiant ein aktueller Fall aufgedeckt, bei dem Cyber-Spionen IoT-Kameras als C&C-Server verwendeten und in Exchange eingedrungen sind, um dort E-Mails zu lesen bzw. zu kopieren. Auch wenn der initiale Angriffsvektor f\u00fcr den Zugriff noch unbekannt ist, zeigt der Vorfall, wie problembehaftet die Vernetzung sein kann.<\/p>\n

<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben diesen Vorfall in obigen Tweet<\/a> adressiert und hier mit Details<\/a> aufbereitet.<\/p>\n

Das Thema Sicherheit bei IoT-Ger\u00e4ten in Privathaushalten spare ich bewusst mal aus, da das vermutlich in einem Alptraum enden w\u00fcrde.<\/p><\/blockquote>\n

Weitere Meldungen<\/h2>\n

Sicherheitsforscher von Mandiant weisen in diesem Artikel<\/a> auf eine neue Gruppe mit der Bezeichnung APT29 hin. In einer Reihe von Phishing-Wellen haben die mehrere diplomatische und staatliche Einrichtungen ins Visier genommen. Die Sicherheitsforscher identifizierten auch zwei neue Malware-Familien, BEATDROP und BOOMMIC, sowie den Missbrauch des Trello-Dienstes von Atlassian durch APT29.<\/p>\n

Netzwerkswitches von Aruba und Avay sind durch Schwachstellen f\u00fcr RCE-Angriffe anf\u00e4llig. Sicherheitsforscher des auf vernetzte Ger\u00e4te spezialisierten Unternehmens Armis nennen die Schwachstelle \"TLStorm 2.0\" (ich hatte diesen Artikel TLStorm: 3 kritische 0-day-Schwachstellen gef\u00e4hrden Smart-UPS von APC<\/a> zu der urspr\u00fcnglichen Entdeckung der Schwachstelle bei intelligenten UPS-Einheiten hier im Blog). Details finden sich im Blog-Beitrag\u00a0TLStorm 2.0: 5 kritische Schwachstellen in Netzwerk-Switches<\/a>. Die Kollegen von Bleeping Computer haben den neuen Sachverhalt bei den Netzwerkswitches von Aruba und Avay ebenfalls in diesem Beitrag<\/a> thematisiert.<\/p>\n

Wer BIG-IP von F5 verwendet, sollte ebenfalls reagieren, denn auch dort gibt es einen RCE-Bug, der die Ger\u00e4te\u00fcbernahme erm\u00f6glicht. Auch hier verweise ich auf die Kollegen von Bleeping Computer, die das Ganze in diesem Artikel<\/a> aufgreifen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nEuropol zerschl\u00e4gt Ransomware-Gruppe<\/a>
\nEuropol & Co. lassen 2 Ransomware-Operatoren in der Ukraine festnehmen<\/a>
\nEuropol hebt zwei SIM-Swapping-Gruppen aus<\/a>
\nEuropol schnappt wohl Kopf der Carbanak Malware-Kampagne<\/a>
\nIronside: Polizei trickst Kriminelle mit ANOM-Messenger-App aus<\/a>
\nMitglieder der Egregor-Ransomware-Gang verhaftet<\/a>
\nDetails zur Emotet Deinstallation durch Strafverfolger<\/a>
\nMutma\u00dflicher Hintermann der REvil-Gang in Russland identifiziert<\/a>
\nREvil Cyber-Gang stellt Aktivit\u00e4ten nach Hijacking von Tor-Seiten ein<\/a>
\nBitdefender stellt universellen REvil-Decryptor bereit<\/a>
\nServer und Infrastruktur der REvil Ransomware-Gruppe ist abgeschaltet<\/a>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nF\u00fcnf Mitglieder der Sodinokibi\/REvil Ransomware-Gruppe verhaftet<\/a>
\nREvil-Ransomware-Gruppe in Russland durch FSB zerschlagen<\/a>
\nMicrosoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Heute ist \"World Password Day\". Daher noch ein kleiner Sammelbeitrag in Punkto IT-Sicherheit, der aber wenig mit Passw\u00f6rtern zu tun hat (das Thema habe ich die letzten Jahre oft adressiert). Es sieht so aus, als ob die Akteure der Revil … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-264961","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264961","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=264961"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/264961\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=264961"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=264961"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=264961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}