GuptiMiner

exploding security #67 - DDoS Threat Intelligence Report - dAn0n Hacker Group - APT73 - GuptiMiner - SHA256 visuell erklärt - Rgx.tools - C2 Tracker

sral

5 min read
exploding security #67 - DDoS Threat Intelligence Report - dAn0n Hacker Group - APT73 - GuptiMiner - SHA256 visuell erklärt - Rgx.tools - C2 Tracker
Foto von Atlas Kadrów auf Unsplash

exploding security #67 ist diese Woche etwas kürzer als gewohnt, da ich anderweitig zu tun habe. Also genieße die Mehrzeit und geh mal in aller Ruhe raus 🌞.

zahlenblock
Reports, Statistiken und andere Zahlenwerke

Netscout DDoS Threat Intelligence Report

Netscout hat seine zwölfte Ausgabe des DDoS Threat Intelligence Report veröffentlicht. Schlüsselzahlen sind die folgenden:

  • DNS Water Torture Attacken haben seit 2020 um 553 Prozent zugenommen
  • Zu den aktivsten DDoS Gruppen zählten in H2 2023 NoName057(16) und Anonymous Sudan. Erstere hatten 780 Ziele in 35 Ländern.
  • 15 Prozent Anstieg der DDoS Attacken insgesamt im zweiten Halbjahr 2023
  • 23 Prozent Anstieg der DDoS Attacken auf Deutschland im zweiten Halbjahr 2023
  • Über 13 Millionen DDoS Attacken wurde 2023 beobachtet

oeffnungszeiten-2
Ransomware News, DDoS News und Hacker News der letzten Wochen

Ransomware News

Aus Ransomware Sicht war die letzte KW eine 8Base RAworld APT73 Woche. Vier Opfer aus Deutschland wurden veröffentlicht.

  • 22.4.2024 8base - Bieler + Lang GmbH
  • 23.4.2024 8base - Wasserkraft Volk AG
  • 24.4.2024 RaWorld - Mainwein
  • 28.4.2024 APT73 - Melting-Mind

dAn0n Hacker Group

Mit dAn0n wurde diese Woche eine weitere Leakseite im Darknet entdeckt, welche bereits acht vermeintliche Ransomware-Opfer listet. Die betroffenen Unternehmen stammen mehrheitlich aus den USA, aber auch Irland und Ungarn.

APT73 (Eraleig) Ransomware Gruppe

Vermutlich handelt es sich bei APT73 um eine Gruppe, welche mit LockBit in Verbindung steht, zumindest lassen die Texte auf der Leakseite darauf schließen.


Auf jeden Fall sucht die selbst ernannte APT (Advanced Persistent Threat) Gruppe auf vielen Kanälen die Aufmerksamkeit, so waren Anfang der Woche noch eine Internetseite, ein Twitter und ein Telegram Kanal online. Lang hat es nicht gehalten, ist auch gut so.
Das erste deutsche Opfer, Melting-Mind ein Systemhaus aus Lübeck, scheint trotz angeblicher Expertise im Hinblick auf IT-Sicherheit direkt unter die Räder gekommen zu sein. Welch Ironie, dass sie als Dienstleistung Hilfe zu genau dieser Thematik anbieten. Und ja, ich weiß, es kann jeden Treffen, dennoch bitter.

DDoS News

Drohnen sind in aller Munde und führen wohl bei NoName057(16) zur Schnappatmung, genauer gesagt neuen Angriffswellen. So mussten am 24.04.2024 die Webseiten der Engel Modellbau & Technik, der n-Factory.de und der MHM-Modellbau GmbH & Co. KG daran glauben.
Auch die Nachbarländer waren mit modell-hubschrauber.at, www.hebu-shop.ch und www.rc3d.ch betroffen.

schadstoffe-1
Malware, Stealer, Botnets und Schwachstellen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

GuptiMiner - Malware

Die Infection Chain der Woche geht an GuptiMiner. Avast hat eine Malware Kampagne aufgedeckt, die den Updatemechanismus der Antivirensoftware eScan hijackt, um danach eine Backdoor zu installieren oder Coinminer auszurollen.
Erste Station is das Abfangen der Updateanfrage via Man-in-the-Middle. Danach geht es via DLL Sideloading, C2 Domain via TXT Record eines verseuchten DNS-Servers weiter, um dann ein verseuchtes PNG zu laden usw. Sieh selbst.

Quelle: Avast

GitHub- und GitLab-Kommentare als Malwareschleuder?

Jemand hat diese Woche ein eigentlich bekanntes „Feature“ der Softwareentwicklungsplattformen GitHub und GitLab aufgedeckt. Ich kann mich dunkel daran erinnern, dass dies schon einmal Thema war, allerdings nie diese Aufmerksamkeit bekommen hatte, wie diese Woche.
Es geht um die Kommentarfunktion der Plattformen, die es erlaubt, Kommentare mit Anhang zu hinterlassen. Problem stellt der Anhang dar, welcher unter anderem beim Löschen des Kommentars dauerhaft auf dem System bleibt und somit seine Herkunft verschleiert.
McAfee berichtete von einem neuen LUA Malware Loader der auf diesem Weg von Microsofts GitHub Repository zu kommen schien. Bleeping hat die Details.

schulbank-1
Knowledge Artikel, Deep Dives, Erklärungen - IT-Security Wissen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

SHA256 - visuell erklärt

Der Secure Hash Algorithmus, kurz SHA256-Algorithmus, visuell erklärt. Natürlich online und in Farbe. Nicht mehr und nicht weniger. Hier lang.

Nuclei Templates für Cloud Anwendungen

Orca Security hat einen Artikel zu Nuclei Templates zur Identifizierung von Risiken und Bedrohungen in kritischen Cloud-Anwendungen veröffentlicht.
Am Beispiel von zwei Szenarien, SSRF und TeamCity Authentication Bypass wird dir die Verwendung näher gebracht.

werkzeugkasten-1
Tools aus dem IT-Security-Universum
Die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Rgx.tools - KI RegEx Generator

KI Werkzeuge gibt es inzwischen wie Sand am Meer, eines davon ist rgx.tools. Mithilfe von GPT-3.5 Turbo unterstützt es dich beim Generieren allerlei RegEx Regeln.
Praktisch ist zusätzlich die Auswahl mehrerer Programmiersprachen sowie die Erklärung zur generierten Regel in der Legende.

C2-Tracker - Feed für böse IPs

Der C2 Tracker ist ein kostenloser IP-Feed, der dir dabei helfen soll Malware, C2 Server, Infostealer und Botnets zu blockieren. Bekannte Security Researcher haben zu der Liste beigetragen. Auf jeden Fall einen Blick wert.

abschluss
Vielen Dank fürs Durchscrollen. Ich wünsche dir eine erfolgreiche und sichere Woche.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder X @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.