FEHLER!

CERT-UA warnt vor gezielten Angriffen auf Computer: Finanz- und Versicherungsorganisationen im Visier

CERT-UA, das ukrainische Computer Emergency Response Team, hat eine Warnung vor gezielten Angriffen auf Computer herausgegeben. Die Organisation empfiehlt erhöhte Wachsamkeit, da es möglich ist, dass europäische und US-amerikanische Finanz- und Versicherungsorganisationen ins Visier genommen wurden. Die Angriffe fanden zwischen Februar und März statt und hatten eine erhöhte geografische Ausbreitung.

Bei der Untersuchung eines Cyberangriffs auf eine ukrainische Organisation haben das CERT-UA und das CSIRT-NBU interessante Details herausgefunden. Die Angreifer hatten es darauf abgesehen, die legitime Fernverwaltungssoftware SuperOps RMM zu installieren. Dazu versendeten sie eine E-Mail mit einem Link zu Dropbox, der auf eine ausführbare SCR-Datei verwies. Doch diese Datei enthielt nicht nur den legitimen Python-Code für das beliebte Spiel Minesweeper, sondern auch einen base64-kodierten String.

Ein weiterer Teil der Software bezog Python-Code von dem Dienst anotepad.com, entschlüsselte diesen und führte ihn aus. Der heruntergeladene Code rief die Funktion „codecreate_license_ver/code“ von Saper auf und übergab dabei den 28 MByte großen String sowie einen weiteren base64-kodierten String aus dem heruntergeladenen Skript als Argument. Das Ergebnis dieser Aktion war eine ZIP-Datei, die durch ein festes Passwort geschützt war und einen MSI-Installer enthielt, der die SuperOps RMM-Software installierte. Somit erhielten die Angreifer unautorisierten Zugriff auf den Computer über das Netzwerk.

Bei weiteren Untersuchungen stellten die IT-Spezialisten des CERT-UA fest, dass fünf weitere Dateien Ähnlichkeiten mit der SCR-Datei aufwiesen und Namen von Finanz- und Versicherungsinstituten in Europa und den USA enthielten. Es wird vermutet, dass auch diese Institutionen Ziel von Angriffen waren. Allerdings wurden die genauen Namen der betroffenen Organisationen nicht genannt.

Um IT-Verantwortlichen bei der Erkennung von Infektionen zu helfen, bietet das CERT-UA sogenannte Indicators of Compromise (IOCs) an. Diese Anhaltspunkte ermöglichen es den Verantwortlichen, zu überprüfen, ob Maschinen in ihren Netzwerken betroffen sind. Zusätzlich wird empfohlen, den Netzwerkverkehr zu überwachen, um unerwartete Verbindungen zu den Domains *.superops.com oder *.superops.ai festzustellen.

Es ist wichtig, dass Unternehmen und Organisationen diese Warnung ernst nehmen und entsprechende Sicherheitsmaßnahmen ergreifen. Die Angriffe zeigen, dass Angreifer immer raffiniertere Methoden einsetzen, um Zugriff auf sensible Daten zu erhalten. Es ist daher ratsam, regelmäßige Sicherheitsüberprüfungen durchzuführen und Mitarbeiter über die Bedeutung von Vorsicht und Wachsamkeit im Umgang mit E-Mails und verdächtigen Links zu informieren.

Die gute Nachricht ist, dass das CERT-UA und andere IT-Sicherheitsorganisationen solche Angriffe entdecken und Maßnahmen zur Bekämpfung ergreifen können. Indem wir alle zusammenarbeiten und unsere Systeme schützen, können wir die Angreifer in die Flucht schlagen und unsere Daten und Netzwerke sicher halten. Also bleibt wachsam und lasst euch nicht von den bösen Jungs überraschen!

Schlagwörter: CERT-UA + Ukraine + SuperOps RMM

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 28. Mai 2024