Trojanischer WordPress-Anmeldeinformationsprüfer stiehlt 390,000 Anmeldeinformationen, kritische Sicherheitslücke in Microsoft Azure MFA aufgedeckt: Ihr Cybersicherheits-Roundup
Trojanisierter WordPress Credentials Checker stiehlt 390,000 Anmeldeinformationen in der MUT-1244-Kampagne
Ein hochentwickelter Bedrohungsakteur, der als MUT-1244 verfolgt wird, hat im vergangenen Jahr eine groß angelegte Kampagne durchgeführt und dabei erfolgreich über 390,000 WordPress-Anmeldedaten gestohlen. Diese Operation, die sich in erster Linie gegen andere Bedrohungsakteure sowie Sicherheitsforscher, Red Teamer und Penetrationstester richtete, stützte sich auf einen mit einem Trojaner infizierten WordPress-Anmeldedatenprüfer und bösartige GitHub-Repositories, um ihre Opfer zu kompromittieren.
Die Angreifer verwendeten ein bösartiges Tool namens „yawpp“, das als WordPress-Anmeldeinformationsprüfer beworben wurde. Viele der Opfer, darunter auch Bedrohungsakteure, nutzten das Tool, um gestohlene Anmeldeinformationen zu validieren und legten so versehentlich ihre eigenen Systeme und Daten offen. Darüber hinaus richtete MUT-1244 mehrere GitHub-Repositories ein, die mit Backdoors versehene Proof-of-Concept-Exploits für bekannte Schwachstellen. Diese Repositories wurden so gestaltet, dass sie legitim erscheinen, und tauchten oft in vertrauenswürdigen Bedrohungsinformations-Feeds wie Feedly und Vulnmon auf. Dieser Anschein von Authentizität verleitete sowohl Profis als auch böswillige Akteure dazu, die Malware auszuführen, die über eine Vielzahl von Methoden verbreitet wurde, darunter Konfigurationsdateien mit Hintertüren, Python-Dropper, bösartige npm-Pakete und manipulierte PDF-Dokumente.
Die Kampagne beinhaltete auch eine Phishing Element. Die Opfer wurden dazu verleitet, Befehle auszuführen, um etwas zu installieren, das sie für ein CPU-Mikrocode-Update hielten, aber in Wirklichkeit Malware war. Nach der Installation setzte die Malware sowohl einen Kryptowährungs-Miner als auch eine Hintertür ein, wodurch die Angreifer vertrauliche Daten wie private SSH-Schlüssel, AWS-Zugriffsschlüssel und Umgebungsvariablen stehlen konnten. Die gestohlenen Information wurden dann mithilfe von fest codierten, in die Malware eingebetteten Anmeldeinformationen auf Plattformen wie Dropbox und file.io exfiltriert.
Forscher entdecken kritische Schwachstelle in Microsoft Azure MFA, die eine Kontoübernahme ermöglicht
Sicherheitsforscher von Oasis Security haben eine kritische Schwachstelle im Multifaktor-Authentifizierungssystem (MFA) von Microsoft Azure entdeckt, die es ihnen ermöglichte, den MFA-Schutz zu umgehen und sich innerhalb von etwa einer Stunde unbefugten Zugriff auf Benutzerkonten zu verschaffen. Der Fehler, der durch das Fehlen einer Ratenbegrenzung für fehlgeschlagene MFA-Versuche verursacht wurde, machte über 400 Millionen Microsoft 365-Konten anfällig für potenzielle Kompromittierungen und legte vertrauliche Daten wie Outlook-E-Mails, OneDrive-Dateien, Teams-Chats und Azure-Cloud-Dienste offen.
Durch Ausnutzen der „AuthQuake“ genannten Schwachstelle konnten Angreifer gleichzeitig und in schneller Folge versuchen, den sechsstelligen MFA-Code zu erraten, der eine Million mögliche Kombinationen aufweist. Da es bei fehlgeschlagenen Anmeldeversuchen keine Benutzerwarnungen gab, war der Angriff verdeckt und schwer zu erkennen. Darüber hinaus stellten die Forscher fest, dass das System von Microsoft MFA-Codes etwa drei Minuten lang gültig ließ – 1 Minuten länger als die von RFC-2.5 empfohlene Gültigkeitsdauer von 30 Sekunden –, was die Wahrscheinlichkeit eines erfolgreichen Erratens erheblich erhöhte.
Durch ihre Tests konnten die Forscher nachweisen, dass Angreifer innerhalb von 24 Sitzungen (ungefähr 70 Minuten) eine Chance von über 50 % haben, den richtigen Code zu erraten.
Russland blockiert Viber wegen angeblicher Verstöße gegen nationale Gesetze
Die russische Telekommunikationsbehörde Roskomnadzor hat die verschlüsselte Messaging-App Viber blockiert und dabei Verstöße gegen nationale Gesetze angeführt. Der weltweit weit verbreiteten App wurde vorgeworfen, sie erfülle nicht die Anforderungen, die ihren Missbrauch für Aktivitäten wie Terrorismus, Extremismus, Drogenhandel und die Verbreitung illegaler Informationen verhindern sollen. Roskomnadzor begründete die Einschränkung damit, dass sie notwendig sei, um diese Risiken zu mindern und die Einhaltung der russischen Gesetze sicherzustellen.
Viber ist sowohl für Desktop- als auch für Mobilgeräte verfügbar und erfreut sich großer Beliebtheit. Im Google Play Store wurde es bereits über eine Milliarde Mal heruntergeladen, und die Nutzerbindung auf iOS ist beträchtlich. Dieser Schritt folgt jedoch einer Reihe von Maßnahmen der russischen Behörden gegen ausländische Kommunikationsplattformen. Im Juni 1 verhängte ein Moskauer Gericht eine Geldstrafe von 2023 Million Rubel gegen Viber, weil es als illegal eingestufte Inhalte, darunter Materialien im Zusammenhang mit Russlands anhaltendem Konflikt in der Ukraine, nicht entfernt hatte. Das Vorgehen gegen Viber steht im Einklang mit umfassenderen Beschränkungen, die Russland für Messaging-Dienste verhängt hat.
