
Forscher von SentinelLabs veröffentlichen Bericht mit Analysen zu den Aktivitäten und Angriffsvektoren der neuen Malware-Gruppe
Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben Forschungsergebnisse zu einer neuen Malwaregruppe mit dem Namen „JuiceLedger“ veröffentlicht. Bei JuiceLedger handelt es sich um einen relativ neuen Bedrohungsakteur, der sich auf den Diesbstahl von sensiblen Nutzerinformationen durch eine .NET-Assembly namens „JuiceStealer“ konzentriert. Die Gruppe hat ihren Angriffsvektor in nur etwas mehr als 6 Monaten von schadhaften Applikationen, hin zu Angriffen auf die Lieferkette weiterentwickelt.
Im August erfolgte eine Phishing-Kampagne gegen PyPI (Python Package Index)-Nutzer, in dessen Folge es zu der erfolgreichen Kompromittierung einer Reihe legitimer Pakete kam. In diesem Zusammenhang konnten hunderte von Typosquatting-Paketen, die JuiceStealer-Malware liefern, identifiziert werden. Das beliebte Software-Repository PyPI teilt der Öffentlichkeit mit, dass bekannte bösartige Pakete und Typosquats inzwischen entfernt oder heruntergenommen wurden.
Die Forscher von SentinelLabs haben in Zusammenarbeit mit Checkmarx die Entwicklung des Bedrohungsakteurs verfolgt. Die Aktivitäten begannen Anfang 2022 mit relativ unauffälligen Kampagnen. Hierbei wurden betrügerische Python-Installationsprogramme mit der .NET-Anwendung JuiceStealer verbreitetet, mit der sensible Daten aus den Browsern der Opfer gestohlen werden sollten. Im August 2022 begann der Bedrohungsakteur mit der Kompromittierung von Open-Source-Paketen, um den Infostealer über einen Supply-Chain-Angriff an ein breiteres Publikum zu verteilen, was das Bedrohungspotenzial dieser Gruppe erheblich vergrößerte.
Zwei Angriffsmethoden – gefälschte Apps und Angriffe auf die Lieferkette
Der Angriff auf die Lieferkette von PyPI-Paketanbietern scheint die Eskalation einer Anfang des Jahres begonnenen Kampagne zu sein, die zunächst auf potenzielle Opfer durch gefälschte Kryptowährung-Trading-Apps abzielte. Der dabei eingesetzte Bot wird von den Bedrohungsakteuren als „KI-Krypto-Handelsbot“ mit dem Namen „The Tesla Trading Bot“ vermarktet. Diese Angriffstechnik läuft nach einem ähnlichen Schema wie das Python-Installationsprogramm ab. So ist der Bot in eine Zip-Datei mit zusätzlicher legitimer Software eingebettet und fordert die Benutzer auf, ihre Sicherheitslösungen zu deaktivieren.
Der jüngste Angriff beinhaltete jedoch eine weitaus komplexere Angriffskette, einschließlich Phishing-E-Mails an PyPI-Entwickler, Typosquatting und schadhafte Pakete, die darauf abzielen, nachgeschaltete Benutzer mit der JuiceStealer-Malware zu infizieren. Dieser Angriffsvektor scheint parallel zu der früheren Infektionsmethode eingesetzt zu werden, da ähnliche Nutzdaten etwa zur gleichen Zeit über gefälschte Cryptocurrency-Ledger-Websites verbreitet wurden.
Fazit
Die Gruppe JuiceLedger scheint ihre Fähigkeiten sehr schnell weiterentwickelt zu haben, was die erfolgreiche Kompromittierung der Lieferkette eines großen Softwareanbieters verdeutlicht. Der Angriff auf PyPI-Nutzer umfasste eine gezielte Phishing-Kampagne, Hunderte von typosquatted Paketen und die Übernahme von Konten vertrauenswürdiger Entwickler. Dies zeigt, dass der Bedrohungsakteur über genügend Zeit und enorme Ressourcen verfügt. Angesichts der weiten Verbreitung von PyPI und anderen Open-Source-Paketen in Unternehmensumgebungen sind Angriffe wie diese äußerst besorgniserregend. Unternehmen wird deshalb dringend empfohlen, die von Sicherheitsexperten bereitgestellten Indikatoren zu überprüfen und geeignete Abwehrmaßnahmen zu ergreifen.
Weitere technische Details zu JuiceLedger finden Sie im vollständigen Bericht von SentinelLabs: https://www.sentinelone.com/labs/pypi-phishing-campaign-juiceledger-threat-actor-pivots-from-fake-apps-to-supply-chain-attacks/
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
