{"id":285263,"date":"2023-08-25T14:08:35","date_gmt":"2023-08-25T12:08:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285263"},"modified":"2023-08-25T14:08:35","modified_gmt":"2023-08-25T12:08:35","slug":"ransomware-bei-it-laboreinrichtung-der-hochschule-luzern-microsoft-deckt-flax-typhoon-spionage-in-taiwan-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/25\/ransomware-bei-it-laboreinrichtung-der-hochschule-luzern-microsoft-deckt-flax-typhoon-spionage-in-taiwan-auf\/","title":{"rendered":"Ransomware bei IT-Laboreinrichtung der Hochschule Luzern; Microsoft deckt Flax Typhoon Spionage in Taiwan auf"},"content":{"rendered":"

\"SicherheitEin IT-Labor der Schweizer Hochschule Luzern ist wohl Opfer eines erfolgreichen Ransomware-Angriffs geworden. Es sind aber wohl keinen Daten von Mitarbeitern und Studierenden betroffen, hei\u00dft es von der Hochschule. Weiterhin hat das Microsoft Security-Team eine seit 2021 laufende Cyberspionage-Operation aufgedeckt. Diese geht wohl von der Volksrepublik China aus und hat es auf taiwanesische Regierungsbeh\u00f6rden sowie auf Organisationen in den Bereichen Bildung, kritische Produktion und IT abgesehen.<\/p>\n

<\/p>\n

Ransomware-Angriff auf Hochschule Luzern<\/h2>\n

\"\"Laut diesem Bericht<\/a> ist eine spezifische IT-Laborumgebung der HSLU, die separat von den zentralen IT-Services l\u00e4uft, Opfer eines Ransomware-Angriffs geworden. Auf dieser Umgebung werden virtuelle Maschinen, welche am Departement Informatik genutzt werden, betrieben. Aufgrund dieser Trennung ist der allgemeine Hochschulbetrieb durch die Attacke in keiner Weise eingeschr\u00e4nkt.<\/p>\n

<\/a><\/p>\n

Ich bin \u00fcber obigen Tweet<\/a> auf das Thema gesto\u00dfen, welches von Inside IT in diesem Artikel<\/a> ebenfalls aufgegriffen wurde. Es sind leider keine Details bekannt geworden, aber Schweizer Medien vermelden, dass sich noch keine Ransomware-Gruppe zum Angriff bekannt habe. Aktuell w\u00fcrden <\/p>\n

Spezialisten mit Hochdruck daran arbeiten, das Ausma\u00df des Angriffs zu verifizieren. \"Daf\u00fcr sind sie mit den zust\u00e4ndigen internen und externen Stellen in Kontakt, insbesondere mit Switch und dem NCSC. Nach aktuellem Kenntnisstand sind keine Daten der Mitarbeitenden oder Studierenden betroffen\", hei\u00dft es weiter. Die HSLU hat Anzeige erstattet. <\/p>\n

Cyber-Spionage-Kampagne Flax Typhoon aufgedeckt<\/h2>\n<\/p>\n

Dem Cybersicherheits-Team von Microsoft ist es gelungen, eine Cyber-Spionage-Kampagne aufzudecken, die mutma\u00dflich aus China ausgeht und sich gegen taiwanesische Regierungsbeh\u00f6rden richtet sowie auf Organisationen in den Bereichen Bildung, kritische Produktion und IT zielt.<\/p>\n

\"Flax<\/a><\/p>\n

Die Flax Typhoon genannte Gruppe geht laut Microsoft von einer nationalstaatlichen Angreifergruppe mit dem Namen Flax Typhoon mit Sitz in China aus. Diese habe es auf Dutzende von Organisationen in Taiwan abgesehen hat, hei\u00dft es in diesem Microsoft-Bericht<\/a>. Ziel ist wahrscheinlich Spionage zu betreiben. Interessant ist, was Microsoft an Details herausgefunden hat.<\/p>\n

Flax Typhoon erlangt(e) und erh\u00e4lt langfristigen Zugang zu den Netzwerken taiwanesischer Organisationen, wobei mit einem minimalem Einsatz von Malware gearbeitet wird. Vielmehr konzentrieren sich die Angreifer darauf, in das Betriebssystem integrierte Tools und einige normalerweise harmlose Software zu missbrauchen, um sich unbemerkt in diesen Netzwerken zu bewegen. <\/p>\n

Die Angreifer sind wohl seit Mitte 2021 t\u00e4tig, und hat Regierungs- und Bildungseinrichtungen sowie kritische Produktions- und Informationstechnologieunternehmen in Taiwan angegriffen. Einige Opfer wurden auch anderswo in S\u00fcdostasien sowie in Nordamerika und Afrika beobachtet. Flax Typhoon konzentriert sich auf Persistenz, seitliche Bewegungen und den Zugriff auf Zugangsdaten.<\/p>\n

Es ist bekannt, dass Flax Typhoon die Web-Shell China Chopper, Metasploit, das Privilegienerweiterungstool Juicy Potato, Mimikatz und den VPN-Client (Virtual Private Network) SoftEther verwendet. Flax Typhoon verschafft sich zun\u00e4chst Zugang, indem es bekannte Schwachstellen in \u00f6ffentlich zug\u00e4nglichen Servern ausnutzt und Web-Shells wie China Chopper einsetzt. <\/p>\n

Nach dem ersten Zugriff verwendet Flax Typhoon Befehlszeilentools, um zun\u00e4chst einen dauerhaften Zugriff \u00fcber das Remote-Desktop-Protokoll herzustellen, dann eine VPN-Verbindung zu einer von den Akteuren kontrollierten Netzwerkinfrastruktur einzurichten und schlie\u00dflich Anmeldedaten von kompromittierten Systemen zu sammeln. Flax Typhoon nutzt diesen VPN-Zugang, um von den kompromittierten Systemen aus nach Schwachstellen auf den Zielsystemen und -organisationen zu suchen.<\/p>\n

Microsoft hat bisher allerdings nicht beobachtet, dass Flax Typhoon diesen Zugang nutzt, um weitere Aktionen durchzuf\u00fchren. Microsoft hat die betroffenen Kunden direkt benachrichtigt und ihnen wichtige Informationen f\u00fcr die Sicherung ihrer Umgebungen zur Verf\u00fcgung gestellt. Details lassen sich in diesem Microsoft-Bericht<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ein IT-Labor der Schweizer Hochschule Luzern ist wohl Opfer eines erfolgreichen Ransomware-Angriffs geworden. Es sind aber wohl keinen Daten von Mitarbeitern und Studierenden betroffen, hei\u00dft es von der Hochschule. Weiterhin hat das Microsoft Security-Team eine seit 2021 laufende Cyberspionage-Operation aufgedeckt. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285263","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285263","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285263"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285263\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285263"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285263"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285263"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}