
Cyberkriminelle nutzen Cloud-Anbieter, um Malware zu hosten + HP Inc. analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Das HP Forschungsteam stellte unter anderem fest, dass Cyberkriminelle Zero-Day-Schwachstellen ausnutzen. So wurde die Zero-Day-Schwachstelle CVE-2021-40444[i], die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet – von HP erstmals am 8. September entdeckt, eine Woche vor der Bereitstellung des Patches am 14. September.
Am 10. September – nur drei Tage nach dem ersten Threat Bulletin – erkannte das HP Forschungsteam, dass Skripte zur automatischen Erstellung dieses Exploits auf GitHub geteilt wurden. Ein großes Risiko, denn ohne Patch ist es Angreifern möglich, Endgeräte mit nur geringer Benutzerinteraktion zu kompromittieren. Der Exploit verwendet dafür eine bösartige Archivdatei, die die Malware über ein Office-Dokument verbreitet. Die Datei muss nicht geöffnet oder Makros aktiviert werden. Es reicht aus, sie im Vorschaufenster des Datei-Explorers anzuzeigen, um den Angriff zu starten – unbemerkt vom Nutzer. Sobald das Gerät kompromittiert ist, ermöglicht es Angreifern, Hintertüren in die System einzubauen. Diese lassen sich dann an Ransomware-Gruppen verkaufen.
Die wichtigsten Bedrohungen, die von HP Wolf Security isoliert wurden, sind unter anderem:
- Immer mehr Cyberkriminelle nutzen legitime Cloud- und Web-Anbieter, um Malware zu hosten: Eine kürzlich durchgeführte GuLoader-Kampagne hostete den Remote Access Trojaner (RAT) Remcos auf großen Plattformen wie OneDrive, um Intrusion Detection Systeme zu umgehen und Whitelisting-Tests zu bestehen. HP Wolf Security entdeckte außerdem verschiedene Malware, die auf Social Media-Plattformen für Spiele wie Discord gehostet wurden.
- JavaScript-Malware entgeht Erkennungstools: Verschiedene JavaScript-RATs werden zunehmend über bösartige E-Mail-Anhänge verbreitet, da JavaScript-Downloader seltener als Office-Downloader oder Binärdateien erkannt werden. RATs werden dazu immer häufiger genutzt, um Anmeldeinformationen für Geschäftskonten oder Krypto-Wallets zu stehlen.
- Der Wechsel zu HTA-Dateien verbreitet die Malware mit einem einzigen Klick: Der Trickbot-Trojaner wird über HTA-Dateien (HTML-Anwendung) verbreitet, die die Malware verbreiten, sobald der Anhang oder die Datei, die sie enthält, geöffnet wird. Aufgrund des ungewöhnlichen Dateityps ist die Wahrscheinlichkeit geringer, dass bösartige HTA-Dateien von Erkennungstools erkannt werden.
Weitere Ergebnisse:
- Zwölf Prozent der isolierten E-Mail-Malware hatte mindestens einen Gateway-Scanner umgangen.
- 89 Prozent der entdeckten Malware wurde per E-Mail übertragen, 11 Prozent per Internet-Downloads und weniger als ein Prozent durch andere Überträger wie Wechseldatenträger.
- Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Archivdateien (38 Prozent, verglichen mit 17,26 Prozent im letzten Quartal), Word-Dokumente (23 Prozent), Tabellen (17 Prozent) und ausführbare Programmdateien (16 Prozent).
- Die fünf häufigsten Phishing-Köder waren Geschäftstransaktionen mit Schlagwörtern wie „Bestellung“, „Zahlung“, „Neu“, „Angebot“ und „Anfrage“.
- Zwölf Prozent der entdeckten Malware war bisher unbekannt.[iii]
[1] Microsoft credited security researchers Rick Cole (MSTIC), Dhanesh Kizhakkinan of Mandiant, Haifei Li of EXPMON, and Bryce Abdo of Mandiant for discovering the zero-day vulnerability. [2] Assumptions based on HP internal analysis of customer reported insights and installed base. [3] Based on first-seen in the wild data from multiple antivirus engines. [4] Based on HP’s unique and comprehensive security capabilities at no additional cost among vendors on HP Elite PCs with Windows and 8th Gen and higher Intel® processors or AMD Ryzen™ 4000 processors and higher; HP ProDesk 600 G6 with Intel® 10th Gen and higher processors; and HP ProBook 600 with AMD Ryzen™ 4000 or Intel® 11th Gen processors and higher. [5] HP’s most advanced embedded security features are available on HP Enterprise and HP Managed devices with HP FutureSmart firmware 4.5 or above. Claim based on HP review of 2021 published features of competitive in-class printers. Only HP offers a combination of security features to automatically detect, stop, and recover from attacks with a self-healing reboot, in alignment with NIST SP 800-193 guidelines for device cyber resiliency. For a list of compatible products, visit: hp.com/go/PrintersThatProtect. For more information, visit: hp.com/go/PrinterSecurityClaims. [6] HP Security is now HP Wolf Security. Security features vary by platform, please see product data sheet for details.
Fachartikel

Sind Daten Ihr schwächstes Glied?

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
