CERT-UA, das ukrainische Computer Emergency Response Team, hat eine Warnung vor gezielten Angriffen auf Computer herausgegeben. Die Organisation empfiehlt erh\u00f6hte Wachsamkeit, da es m\u00f6glich ist, dass europ\u00e4ische und US-amerikanische Finanz- und Versicherungsorganisationen ins Visier genommen wurden. Die Angriffe fanden zwischen Februar und M\u00e4rz statt und hatten eine erh\u00f6hte geografische Ausbreitung.<\/p>\n
Bei der Untersuchung eines Cyberangriffs auf eine ukrainische Organisation haben das CERT-UA und das CSIRT-NBU interessante Details herausgefunden. Die Angreifer hatten es darauf abgesehen, die legitime Fernverwaltungssoftware SuperOps RMM zu installieren. Dazu versendeten sie eine E-Mail mit einem Link zu Dropbox, der auf eine ausf\u00fchrbare SCR-Datei verwies. Doch diese Datei enthielt nicht nur den legitimen Python-Code f\u00fcr das beliebte Spiel Minesweeper, sondern auch einen base64-kodierten String.<\/p>\n
Ein weiterer Teil der Software bezog Python-Code von dem Dienst anotepad.com, entschl\u00fcsselte diesen und f\u00fchrte ihn aus. Der heruntergeladene Code rief die Funktion „codecreate_license_ver\/code“ von Saper auf und \u00fcbergab dabei den 28 MByte gro\u00dfen String sowie einen weiteren base64-kodierten String aus dem heruntergeladenen Skript als Argument. Das Ergebnis dieser Aktion war eine ZIP-Datei, die durch ein festes Passwort gesch\u00fctzt war und einen MSI-Installer enthielt, der die SuperOps RMM-Software installierte. Somit erhielten die Angreifer unautorisierten Zugriff auf den Computer \u00fcber das Netzwerk.<\/p>\n
Bei weiteren Untersuchungen stellten die IT-Spezialisten des CERT-UA fest, dass f\u00fcnf weitere Dateien \u00c4hnlichkeiten mit der SCR-Datei aufwiesen und Namen von Finanz- und Versicherungsinstituten in Europa und den USA enthielten. Es wird vermutet, dass auch diese Institutionen Ziel von Angriffen waren. Allerdings wurden die genauen Namen der betroffenen Organisationen nicht genannt.<\/p>\n
Um IT-Verantwortlichen bei der Erkennung von Infektionen zu helfen, bietet das CERT-UA sogenannte Indicators of Compromise (IOCs) an. Diese Anhaltspunkte erm\u00f6glichen es den Verantwortlichen, zu \u00fcberpr\u00fcfen, ob Maschinen in ihren Netzwerken betroffen sind. Zus\u00e4tzlich wird empfohlen, den Netzwerkverkehr zu \u00fcberwachen, um unerwartete Verbindungen zu den Domains *.superops.com oder *.superops.ai festzustellen.<\/p>\n
Es ist wichtig, dass Unternehmen und Organisationen diese Warnung ernst nehmen und entsprechende Sicherheitsma\u00dfnahmen ergreifen. Die Angriffe zeigen, dass Angreifer immer raffiniertere Methoden einsetzen, um Zugriff auf sensible Daten zu erhalten. Es ist daher ratsam, regelm\u00e4\u00dfige Sicherheits\u00fcberpr\u00fcfungen durchzuf\u00fchren und Mitarbeiter \u00fcber die Bedeutung von Vorsicht und Wachsamkeit im Umgang mit E-Mails und verd\u00e4chtigen Links zu informieren.<\/p>\n
Die gute Nachricht ist, dass das CERT-UA und andere IT-Sicherheitsorganisationen solche Angriffe entdecken und Ma\u00dfnahmen zur Bek\u00e4mpfung ergreifen k\u00f6nnen. Indem wir alle zusammenarbeiten und unsere Systeme sch\u00fctzen, k\u00f6nnen wir die Angreifer in die Flucht schlagen und unsere Daten und Netzwerke sicher halten. Also bleibt wachsam und lasst euch nicht von den b\u00f6sen Jungs \u00fcberraschen!<\/p>\n
Schlagw\u00f6rter: CERT-UA + Ukraine + SuperOps RMM<\/p>\n","protected":false},"excerpt":{"rendered":"
CERT-UA, das ukrainische Computer Emergency Response Team, hat eine Warnung vor gezielten Angriffen auf Computer herausgegeben. Die Organisation empfiehlt erh\u00f6hte Wachsamkeit, da es m\u00f6glich ist, dass europ\u00e4ische und US-amerikanische Finanz- und Versicherungsorganisationen ins Visier genommen wurden. Die Angriffe fanden zwischen Februar und M\u00e4rz statt und hatten eine erh\u00f6hte geografische Ausbreitung....<\/p>\n","protected":false},"author":4,"featured_media":8070,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=8071"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8071\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/8070"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=8071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=8071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=8071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}