Microsoft
Microsoft patchte eine Zero-Day-Schwachstelle, die von der Water Hydra-Gruppe in einer Kampagne gegen Devisenhändler genutzt wurde, um Daten zu stehlen oder Ransomware einzusetzen, und zielt auf eine weitere Schwachstelle in Windows SmartScreen ab, die Codeausführung ermöglicht
Bildquelle: Foto von Pixabay: https://www.pexels.com/de-de/foto/sicherheitslogo-60504/
Microsoft hat heute eine Zero-Day-Schwachstelle gepatcht, die in Angriffen gegen „Devisenhändler im hochriskanten Währungshandel“ genutzt wurde, wobei das wahrscheinliche Endziel der Diebstahl von Daten oder die spätere Bereitstellung von Ransomware war.
„Ende Dezember 2023 begannen wir, eine Kampagne der Water Hydra-Gruppe zu verfolgen, die ähnliche Werkzeuge, Taktiken und Verfahren (TTPs) enthielt, welche das Ausnutzen von Internet-Verknüpfungen (.URL) und Komponenten des webbasierten verteilten Schreibens und Versionsmanagements (WebDAV) beinhalteten“, erklärte Trend Micro.
„Wir kamen zu dem Schluss, dass das Aufrufen einer Verknüpfung innerhalb einer anderen Verknüpfung ausreichte, um SmartScreen zu umgehen, welches das Mark-of-the-Web (MotW), eine kritische Windows-Komponente, die Benutzer warnt, wenn Dateien aus einer nicht vertrauenswürdigen Quelle geöffnet oder ausgeführt werden, nicht korrekt anwendete.“
Water Hydra nutzte CVE-2024-21412, um Forex-Handelsforen und Aktienhandelskanäle auf Telegram in Spearphishing-Angriffen zu zielen, indem ein bösartiges Börsendiagramm verlinkt wurde, das auf eine kompromittierte Handelsinformationsseite aus Russland (fxbulls[.]ru) führte, die eine Forex-Broker-Plattform (fxbulls[.]com) imitierte.
Das Ziel der Angreifer war es, die anvisierten Händler durch Social Engineering dazu zu bringen, die DarkMe-Malware zu installieren.
Die verwendeten Taktiken umfassten das Posten von Nachrichten auf Englisch und Russisch, in denen um Handelsberatung gebeten oder diese angeboten wurde, sowie die Verbreitung von gefälschten Aktien- und Finanztools im Zusammenhang mit der technischen Analyse von Diagrammen und Indikatoren.
Eine vollständige Liste der Indikatoren für einen Kompromiss (IoCs) für diese neu beobachtete DarkMe-Malware-Kampagne ist hier verfügbar.
Die Water Hydra-Hacker haben in der Vergangenheit andere Zero-Day-Schwachstellen ausgenutzt. Beispielsweise nutzten sie eine hochgradige Schwachstelle (CVE-2023-38831) in der WinRAR-Software, die von über 500 Millionen Nutzern verwendet wird, um mehrere Monate vor Verfügbarkeit eines Patches Handelskonten zu kompromittieren.
Andere Anbieter verknüpften später die Ausnutzung von CVE-2023-38831 mit mehreren von Regierungen unterstützten Hackergruppen, einschließlich Sandworm, APT28, APT40, DarkPink (NSFOCUS) und Konni (Knownsec) aus Russland, China und Nordkorea.
Heute hat Microsoft eine zweite Zero-Day-Schwachstelle in Windows SmartScreen (CVE-2024-21351) gepatcht, die in der Wildnis ausgenutzt wurde und es Angreifern ermöglichen könnte, Code in SmartScreen einzuschleusen und Codeausführung zu erlangen.
Downloads:
