RSA Research veröffentlicht Report zum Cyberangriffs-Netzwerk Terracotta
Unverdächtiger Netzwerk-Traffic einer vertrauenswürdigen inländischen Organisation
(19.08.15) - RSA Research veröffentlichte einen Bericht über ein kommerzielles VPN-Netzwerk, das intern Terracotta genannt wird. Das Netzwerk hat seinen Ursprung in China und wird dort als Plattform für die Ausführung von hochentwickelten Cyberangriffen (Advanced Persistent Threats) angeboten. Genutzt wird es unter anderem von den Spionagehackern Shell Crew (auch Deep Panda genannt), vor der RSA bereits im Januar 2014 gewarnt hat.
Hier die wichtigsten Fakten zu der Gefahr auf einen Blick:
>> IT-Sicherheitsverantwortliche in großen Unternehmen, die zu den Zielen von APT-Attacken gehören, beschränken oder blockieren nur die bekannten "bösen" IP-Adressen der kommerziellen VPN-Netze der Angreifer. Die Angreifer aus dem Terracotta-Netzwerk haben aber einen Weg gefunden, diese Verteidigungslinie zu umgehen.
>> Für ein Opfer eines hochentwickelten Cyberangriffs sieht der Netzwerkverkehr, der von einem Terracotta-Knoten ausgeht, so aus wie unverdächtiger Netzwerk-Traffic einer vertrauenswürdigen inländischen Organisation. Tatsächlich ist diese Organisation jedoch ein Opfer von Terracotta, die einen ihrer Server infiziert haben.
(RSA: EMC: ra)
RSA, The Security Division of EMC: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Hintergrund
BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren.
Infoblox hat Einzelheiten über Savvy Seahorse in einem neuen Threat Intel Report veröffentlicht. Savvy Seahorse ist ein DNS-Bedrohungsakteur, der seine Opfer dazu bringt, ihr Geld auf gefälschten Investmentplattformen anzulegen, indem sie sich als bekannte Firmen wie Tesla, Meta oder Imperial Oil tarnten. Um dies zu erreichen, nutzte die Gruppe fortgeschrittene Techniken, wie Fake-Chatbots, Meta Pixel Tracking oder die missbräuchliche Nutzung der Domains verschiedener Zahlungsdienstleister.
Cyberkriminelle werden in 2024 verstärkt mit opportunistischer Ransomware und koordinierten Manövern Unternehmen attackieren: Einen Hinweis für die Gültigkeit dieses Trends liefert die in einer aktuellen forensischen Analyse von den Bitdefender Labs untersuchte Attacke auf zwei Unternehmen einer Unternehmensgruppe durch die Ransomware-Bande CACTUS.
Hewlett-Packard (HP) stellt die Ergebnisse ihres neuen, vierteljährlich erscheinenden "HP Wolf Security Threat Insights Report" vor. Dabei zeigte sich, dass Cyber-Kriminelle weiterhin innovative Wege finden, um Endgeräte zu infizieren. Das HP Wolf Security Threat Research-Team deckte eine Reihe interessanter Kampagnen auf, darunter: Die DarkGate-Kampagne nutzt Werbe-Tools, um Angriffe zu verstärken: Bösartige PDF-Anhänge, die sich als OneDrive-Fehlermeldungen ausgeben, leiten Benutzer und gesponserten Inhalten weiter. Diese Seiten werden in einem beliebten Werbenetzwerk gehostet und führen zu DarkGate-Malware. Durch die Nutzung von Anzeigendiensten können Bedrohungsakteure analysieren, welche Köder Klicks generieren, und die meisten Benutzer infizieren. Damit sind sie in der Lage, ihre Kampagnen für eine maximale Wirkung zu verfeinern.