Zur Newsübersicht
16 Jul Threat

Weekly Intelligence Bulletin – Woche 28


QuoScient’s Weekly Intelligence Bulletin für die Woche vom 05. Juli – 12. Juli 2018 steht ab sofort im Media Center zum Download bereit! Hier finden Sie eine Zusammenfassung.

CYBER

Schwachstellen Microsoft’s July Patch Tuesday Release enthält Patches für 53 Schwachstellen: 27 von ihnen sind remote ausnutzbar und 17 werden als kritisch eingestuft. Administratoren sollten das Patchen derjenigen Schwachstellen des Internet Explorers priorisieren, die als kritisch und als remote ausnutzbar eingestuft werden, auch, wenn keine der Schwachstellen Berichten zufolge nach sich automatisiert verbreitet. Webbasierte Angriffe werden häufig von Bedrohungsakteuren verwendet.

Adobe’s July Patch Tuesday veröffentlichte vier Sicherheitsbulletins zur Behebung von 112 Schwachstellen, darunter eine kritische Schwachstelle in Adobe Flash und 51 kritische Schwachstellen für Adobe Acrobat und Adobe Reader. Berichten zufolge werden keine der Schwachstellen automatisiert verbreitet, jedoch sollten die Hersteller-Patches rechtzeitig auf die betroffenen Systeme angewendet werden, mit Priorität auf den Flash Player-Sicherheitspatch.

Aktuelle Bedrohungen Am 7. Juli hat ein Benutzer des Forums ‚mal4all‘ einen Link gepostet, der behauptete, der Quellcode für Carbanak Financial Malware sei durchgesickert. Während unserer ersten Beobachtungen gibt es jedoch Hinweise darauf, dass der Code zu einer anderen Financial Malware gehört, die als Pegasus bekannt ist und ein vollständiges Angriffsframework darstellt.

Gemeldete Vorfälle Berichten zufolge erlitt die russische Bank PIR Bank eine Cyberattacke am Abend des 4. Juli, was zu einem Verlust von mehr als USD 918.140 (58 Millionen Rubel) führte. Die Gelder wurden über den Automated Workstation Client der russischen Zentralbank, das elektronische Interbanküberweisungssystem, gestohlen und auf Konten bei 22 verschiedenen Banken in Russland abgehoben. Quellen zufolge ist die bei dem Angriff verwendete Malware noch nicht identifiziert aber es ist bekannt, dass die Bedrohungsakteure wahrscheinlich durch eine Phishing-Betrugsmasche in die Bank eingedrungen sind.

Berichten zufolge enthüllt die beliebte Fitness-App Polar versehentlich Standortdaten von Benutzern mit öffentlichen und privaten Profilen. Benutzer, die ihre Einstellungen ändern, um sich für die gemeinsame Nutzung von Trainingssitzungen und GPS-Standortdaten zu entscheiden, geben unwissentlich auch andere persönliche Daten weiter wenn sie die soziale Plattform Polar Flow von Polar nutzen, auf der Benutzer ihre Läufe teilen können. Polar speichert alle Benutzersitzungen seit 2014 und zeigt diese Daten weltweit und auf der gleichen Karte an.

Cyber Tätergruppen Aktivität QuoINT beobachtete neue Aktivitäten der Cobalt-Gruppe, die am 4. Juli 2018 begannen. Diese neue Phishing-Kampagne nutzt eine bösartige Domain, die sich als die bulgarische TBI Bank ausgibt und darüber die Malware verteilt. Der Threat Actor schickte mehrere Speer-Phishing-Wellen mit jeweils unterschiedlichen Empfängern. Wir entdeckten weitere Wellen, die ein anderes Set von Zielen enthielten, insgesamt mehr als 1700+ spezifische Adressen. Die anvisierten Finanzinstitute befinden sich hauptsächlich in Europa (Spanien, Italien, Deutschland, Schweden), der GUS1 (Russland, Kasachstan) und im asiatisch-pazifischen Raum.

Forscher identifizierten gestohlene digitale Zertifikate zweier taiwanesischer Unternehmen, die von einer Cyberspionage-Gruppe BlackTech missbraucht werden, um Malware zu signieren, die in einer Kampagne gegen Ostasien verbreitet wird.

KRYPTOWÄHRUNGEN

Am 9. Juli haben nicht identifizierte Angreifer die dezentrale Krypto-Börse Bancor kompromittiert und es geschafft, Krypto-Assets im Wert von über 23 Millionen US-Dollar zu stehlen. Der Angriff wurde gegen den ungeschützten Bancor Smart Contract ausgeführt. Nach der Panne hat Bancor’s Netzwerk Token begonnen zu fallen. 20 Tage nach dem Vorfall hatte er 38% seines Wertes verloren.

GEOPOLITIK

Nordkorea droht mit dem Rückzug aus dem Entnuklearisierungsabkommen, da seine Führung mit den bisher von der amerikanischen Regierung beschlossenen Maßnahmen nicht zufrieden ist. Zum jetzigen Zeitpunkt ist es unwahrscheinlich, dass Nordkorea seine intensiven Cyberspionage- und Cyberbetrugsaktivitäten reduzieren wird, da diese sich in der Vergangenheit als taktischer Vorteil in den diplomatischen Verhandlungen erwiesen haben und eine Alternative zu nicht genehmigten Einnahmequellen darstellten.

OUTLOOK

Am 15. Juli findet in Moskau das Finale der FIFA Fussball-Weltmeisterschaft 2018 statt. Bedrohungsakteure könnten sich dieses große globale Interesse zunutze machen, was zu einer DDoS oder anderen Cyberattacken führen könnte.

Am 16. Juli treffen sich US-Präsident Trump und der russische Präsident Putin in Finnland, um eine Reihe von Themen zu erörtern, darunter auch militärische Strategien. Dieses Treffen wird in weniger als einer Woche nach dem NATO-Gipfel stattfinden.

Der Global Blockchain Congress findet vom 16. bis 17. Juli statt, auf dem Experten über Blockchain-Technologien, Blockchain-Anwendungen, ICOs und andere Themen diskutieren werden.

Schließen
Incident Hotline
+49 69 33 99 86 34

Cyberangriffe erfordern eine umgehende Reaktion. Wir sind für Sie erreichbar. Rund um die Uhr. Weltweit. Und treffen mit Ihnen gemeinsam die richtigen Entscheidungen zur bestmöglichen Schadensabwehr. Rufen Sie uns an! In jedem Fall.