![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Zum Wochenabschluss noch kurze Meldungen aus dem Bereich der IT-Sicherheit. Ein Unbekannter hat angeblich Chat-Protokolle der Black Basta Ransomware-Gruppe geleakt. Und Cisco Talos nimmt sich die Angriffe der Salt Typhoon-Gruppe auf US-Telekommunikationsunternehmen mittels gestohlener Zugangsdaten zum Anlass, um Empfehlungen zur Erkennung und Pr\u00e4vention gegeben.<\/p>\n
<\/p>\n
Weathering the storm: In the midst of a Typhoon von Angriffen durch Salt Typhoon auf US-Telekommunikationsunternehmen. Es werden gestohlene Zugangsdaten ausnutzt, um mit hoher Ausdauer in IT-Netzwerke einzudringen.<\/p>\n
![\"Salt](\"https:\/\/i.postimg.cc\/PxPTp2xf\/image.png\")
<\/p>\n
Telekommunikationsfirmen aus den USA wurden \u00fcber Monate durch mutma\u00dflich chinesische staatsnahe Hacker infiltriert. Die\u00a0Angriffe von Salt Typhoon auf US-Telekommunikationsunternehmen wurden ja bereits im Sp\u00e4therbst 2024 gemeldet (siehe Erkenntnisse von T-Mobile (USA) \u00fcber (chinesische) Hackerangriffe auf das Netz<\/a> und Links am Artikelende).<\/p>\n Die Sicherheitsforscher von Cisco Talos haben die \u00f6ffentlich zug\u00e4nglichen Informationen analysiert und verfolgt. Daraus geht hervor, dass die Angreifer in mehreren F\u00e4llen sich Zugang zu zentralen Netzwerkinfrastrukturen verschaffen konnten und diese dann zum Sammeln einer Vielzahl von Informationen zu nutzen. Es gab auch einen Fall, in dem die Sicherheitsforscher Hinweise darauf fanden, dass eine Cisco-Schwachstelle (CVE-2018-0171) wahrscheinlich missbraucht wurde.<\/p>\n Bei allen anderen untersuchten Vorf\u00e4llen wurde festgestellt, dass der anf\u00e4ngliche Zugang zu Cisco-Ger\u00e4ten durch den Bedrohungsakteur mit legitimen Anmeldedaten des Opfers erlangt wurde. Die Bedrohungsakteure waren danach in der Lage, sich in den Zielumgebungen auf Ger\u00e4ten verschiedener Hersteller \u00fcber l\u00e4ngere Zeitr\u00e4ume zu verbleiben (drei Jahre in einem Fall). Dabei wurde der Einsatz von LOTL-Techniken (Living-off-the-land) auf Netzwerkger\u00e4ten beobachtet.<\/p>\n Der Cisco Talos-Artikel Weathering the storm: In the midst of a Typhoon<\/a> zeichnet nicht nur die m\u00f6glichen Angriffswege von Volt Typhoon nach. Er gibt auch Hinweise und Empfehlungen zur Erkennung solcher Angriffe und zur Pr\u00e4vention. Auch wenn die Angriffe nur auf US-Telekommunikationsunternehmen beobachtet wurden, sollten Administratoren unter der Blog-Leserschaft den Beitrag vielleicht quer lesen, um die eigene IT-Infrastruktur auf Infektionen oder Risiken eines Angriffs abzuklopfen.<\/p>\n Momentan geht die Meldung rund, dass ein Unbekannter angeblich internet Chat-Protokolle der Black Basta Ransomware-Gruppe ver\u00f6ffentlicht hat<\/a>.<\/p>\n Es handelt sich um ein Archiv mit internen Matrix-Chatprotokollen, welches angeblich Nachrichten enth\u00e4lt, die zwischen dem 18. September 2023 und dem 28. September 2024 von Mitgliedern der Black-Basta-Ransomware ausgetauscht wurden. Bleeping Computer hat die Details in diesem Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n Sicherheitsforscher von Fortinet haben im Blog-Beitrag\u00a0FortiGuard Labs Threat Research FortiSandbox 5.0 Detects Evolving Snake Keylogger Variant<\/a> eine Kampagne von Angriffen mit einer neuen Variante des Snake-Keyloggers (404 Keylogger) f\u00fcr Windows beschrieben. Diese Malware zeichnet unter Windows unbemerkt Tastenanschl\u00e4ge auf, um Anmeldeinformationen, Daten und andere sensible Informationen zu sammeln und zu stehlen.<\/p>\n Diese Malware, als AutoIt\/Injector.GTY!tr<\/em> identifiziert, ist f\u00fcr \u00fcber 280 Millionen blockierte Infektionsversuche verantwortlich. Die meisten Treffer durch Malware-Sicherheitsprodukte wurden in China, T\u00fcrkei, Indonesien, Taiwan und Spanien verzeichnet.<\/p>\n Der Snake Keylogger wird in der Regel \u00fcber Phishing-E-Mails mit b\u00f6sartigen Anh\u00e4ngen oder Links verbreitet und ist darauf ausgelegt, vertrauliche Informationen aus g\u00e4ngigen Webbrowsern wie Chrome, Edge und Firefox zu stehlen, indem es Tastatureingaben protokolliert, Anmeldedaten erfasst und die Zwischenablage \u00fcberwacht. Neben dem Datendiebstahl exfiltriert Snake Keylogger die gestohlenen Informationen \u00fcber SMTP (E-Mail) und Telegram-Bots an seinen Command-and-Control-Server (C2), so dass Angreifer auf gestohlene Zugangsdaten und andere sensible Daten zugreifen k\u00f6nnen. Golem hat die Erkenntnisse in diesem Artikel<\/a> aufbereitet.<\/p>\n \u00c4hnliche Artikel:<\/strong> Zum Wochenabschluss noch kurze Meldungen aus dem Bereich der IT-Sicherheit. Ein Unbekannter hat angeblich Chat-Protokolle der Black Basta Ransomware-Gruppe geleakt. Und Cisco Talos nimmt sich die Angriffe der Salt Typhoon-Gruppe auf US-Telekommunikationsunternehmen mittels gestohlener Zugangsdaten zum Anlass, um Empfehlungen zur … Weiterlesen Chats der Black Basta Ransomware-Gruppe geleakt<\/h2>\n
![\"Black](\"https:\/\/i.postimg.cc\/SNDXMtQC\/image.png\")
<\/a><\/p>\nSnake-Keylogger infiziert Windows-Systeme<\/h2>\n
\nVerdacht: US-Breitbandanbieter durch chinesische Hacker infiltriert<\/a>
\nCybervorf\u00e4lle: Sauter-Cumulus (Geb\u00e4udeautomation), Fefe-Blog, US-Internetanbieter<\/a>
\nSicherheitsinfos: CISA erweitert Schwachstellenliste (Palo Alto Networks, Progress Kemp) und mehr<\/a>
\nErkenntnisse von T-Mobile (USA) \u00fcber (chinesische) Hackerangriffe auf das Netz<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"