Aktuelles, Branche - geschrieben von dp am Sonntag, März 1, 2020 21:10 - noch keine Kommentare
Palo Alto Networks warnt vor neuer Phishing-Kampagne
Cyber-Kriminelle missbrauchen Fernzugriffstool NetSupport Manager
[datensicherheit.de, 01.03.2020] Nach eigenen Angaben hat Palo Alto Networks und dessen Malware-Forschungsabteilung „Unit 42“ ein schädliches und potenziell gefährliches „Microsoft Word“-Dokument identifiziert, das demnach „als kennwortgeschütztes NortonLifelock-Dokument getarnt war“. Dieses sei in einer Phishing-Kampagne zur Bereitstellung des kommerziell erhältlichen Fernzugriffstools (Remote Access Tool, RAT) „NetSupport Manager“ verwendet worden. Der Einsatz eines fiktiven „NortonLifelock“-Dokuments, um Benutzer zur Aktivierung von Makros zu verleiten, mache diesen speziellen Angriff für die Sicherheitsexperten interessant.
RAT normalerweise für legitime Zwecke verwendet
Dieses RAT werde normalerweise für legitime Zwecke verwendet, um Administratoren den Fernzugriff auf Client-Rechner zu ermöglichen. Kriminelle hätten das RAT jedoch auf den Systemen ihrer Opfer installiert und sich so unbefugten Zugriff verschafft.
Die Verwendung von „NetSupport Manager“ bei Phishing-Kampagnen, um sich unbefugten Zugriff zu verschaffen, werde von Bedrohungsforschern mindestens schon seit 2018 beobachtet.
Aktivität Teil einer größeren Kampagne
Bei einer ersten Überprüfung der aktuellen Erkennung, die zuvor von der „Cortex XDR Engine“ markiert worden sei, hätten die IT-Sicherheitsexperten festgestellt, „dass die Kausalitätskette begann, als ein ,Microsoft Word‘-Dokument aus ,Microsoft Office Outlook‘ heraus geöffnet wurde“.
Obwohl den Forschern die eigentliche E-Mail nicht zur Verfügung stehe, hätten sie den Schluss ziehen können, „dass diese Aktivität Teil einer größeren Kampagne zu sein scheint“.
Cyber-Angreifer setzen Ausweichtechniken ein
Bei dieser Aktivität hätten die Cyber-Angreifer Ausweichtechniken eingesetzt, um sowohl die dynamische als auch die statische Analyse zu umgehen. Zur Installation der bösartigen Dateiaktivität komme das „PowerShell PowerSploit“-Framework zum Einsatz.
Durch zusätzliche Analysen habe das Forschungsteam verwandte Aktivitäten identifiziert, die bis Anfang November 2019 zurückreichten. Im ausführlichen Bericht zu dieser Bedrohung beschreibe „Unit 42“ die anomalen Aktivitäten, die durch die Verhaltenserkennungsfunktionen von „Cortex XDR“ beobachtet worden seien.
Weitere Informationen zum Thema:
paloalto NETWORKS, UNIT 42, 27.02.2020
Cortex XDR™ Detects New Phishing Campaign Installing NetSupport Manager RAT
datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 22, 2024 18:42 - noch keine Kommentare
Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
weitere Beiträge in Branche
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren