Security Report

Cisco Talos bringt Security Q1 Report: Neue APT-Angriffe und alte Plagen

, Garching, Cisco | Autor: Herbert Wieler

Cisco Talos bringt Security Q1 Report: Neue APT-Angriffe und alte Plagen

Erpressung Vielfältigkeit, Persönliche Ziele

Das Cisco Talos Incident Response (CTIR) Team sieht im ersten Quartal 2022 immer noch Ransomware an der Spitze der Aktivitäten von Cyberkriminellen. Cisco Talos ist eine der weltweit führenden Threat Research-Einheiten, die aktuell auch bei der Cyberverteidigung der Ukraine hilft. Im Quartalsbericht geht es unter anderem um die fortdauernde Ausnutzung der Log4j-Schwachstelle und die Zunahme von APT-Angriffen.

  • Erpressung bleibt: Ransomware ist nach wie vor die grösste Bedrohung
  • Vielfalt kommt: Bei den Ransomware-Attacken wurde keine Ransomware-Familie zweimal beobachtet
  • Persönliche Ziele: Es gab zudem mehr Bedrohungen mittels Social-Engineering-Techniken als je zuvor

Das Cisco Talos Incident Response (CTIR) Team, das von der weltweit grössten kommerziellen Threat Intelligence Organisation unterstützt wird, hat seinen vierteljährlichen Threat Assessment Report für das erste Quartal 2022 veröffentlicht. Ihm zufolge ist Ransomware nach wie vor die grösste Bedrohung. Der Trend vergangener Quartale setzte sich damit seit 2020 nahtlos fort. Im ersten Quartal 2022 kam es auch zu einer Zunahme von Einsätzen in Verbindung mit fortgeschrittenen Bedrohungen (APT). Dazu gehörten die vom iranischen Staat gesponserten MuddyWater-APT-Aktivitäten sowie die China zugeordneten Mustang Panda-Aktivitäten. Letztere verwenden USB-Laufwerke zur Verbreitung des PlugX-Remote-Access-Trojaners (RAT). Ein mutmasslich chinesischer Angreifer mit dem Namen «Deep Panda» nutzte dabei die Log4j-Schwachstelle aus.

Die Telekommunikationsbranche gehörte, wie schon in den vorangegangenen Quartalen, zu den am häufigsten angegriffenen Wirtschaftszweigen. In kurzem Abstand folgen Organisationen im Bildungswesen und der öffentlichen Verwaltung.

Bedrohungen

Interessanterweise wurde bei den Ransomware-Attacken im ersten Quartal 2022 keine Ransomware-Familie doppelt beobachtet. Dies ist ein Anzeichen einer stärkeren Heterogenität der Ransomware-Angreifer. Cisco Talos konnte diesen Trend bereits im letzten Jahr beobachten. In diesem Quartal traten zudem neue Ransomware-Familien auf, darunter Cerber (auch bekannt als CerberImposter), Entropy und Cuba. Ebenso konnten hochkarätige Ransomware-Familien wie Hive und Conti beobachtet werden. Laut der Analyse des CTIR-Teams exfiltrierten auch im aktuellen Quartal Ransomware-Angreifer sensible Daten, um eine doppelte Erpressung auszuführen. Dieser Trend ist bereits seit dem Winter 2019 erkennbar.

Bei einem Vorfall mit Cerber-Ransomware, der eine Holdinggesellschaft betraf, nutzte der Angreifer Schwachstellen in GitLab aus, um Code aus der Ferne hochzuladen und auszuführen. Dadurch erhielt er letztendlich Zugriff auf dieses System im Kontext des "git"-Kontos. Diese Vorgehensweise deckt sich mit Berichten anderer Sicherheitsfirmen über eine neue Version von Cerber-Ransomware, die auf Atlassian Confluence- und GitLab-Server mit älteren RCE-Schwachstellen abzielt.

Auf Ransomware folgte die Ausnutzung von Log4j als zweithäufigster Bedrohungsvektor. Das Apache-Protokollierungsdienstprogramm wird von Unternehmen auf der ganzen Welt verwendet. Im Januar 2022 beobachtete das CTIR-Team dabei eine wachsende Zahl von Aktivitäten, bei denen Angreifer versuchten, Log4j in anfälligen VMware Horizon-Servern auszunutzen.

Bei den meisten Angriffen war es schwierig, einen Anfangsvektor zu identifizieren, was auf Mängel bei der Protokollierung und Sichtbarkeit zurückzuführen ist. Es gab es allerdings auch Einsätze, bei denen der ursprüngliche Vektor bestätigt werden konnte oder bei denen das Team zumindest davon ausgehen konnte. In diesen Fällen nutzten Angreifer öffentlich zugängliche Anwendungen aus, die für Log4j anfällig waren.

Schwachstellen in der Sicherheit

„Viele dieser Angriffe hätten verhindert werden können“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Aufgrund der untersuchten Angriffe empfehlen wir nachdrücklich eine Multi-Faktor-Authentifizierung für alle wichtigen Dienste, insbesondere der Endpoint-Detection-Response-Lösungen.“

Das CTIR-Team hat weitere Erkenntnisse zusammengestellt:

  • Angriffe per Phishing nahmen weiter zu, bei denen ein bösartiger Link oder ein Dokument zum Einsatz kamen. Parallel stiegen Bedrohungen per Social-Engineering-Techniken auf einen neuen Höchststand. Dabei tarnten sich die Phishing-Instrumente immer besser als legitime Dateien oder Dienstprogramme.
  • Das CTIR-Team verzeichnete eine Zunahme von Techniken, die auf ungepatchte und öffentlich zugängliche Anwendungen gerichtet waren.
  • Im Vergleich zu den vorangegangenen Quartalen konnte eine starke Zunahme von Aktivitäten festgestellt werden, die auf eine Umgehung von Verteidigungsmaßnahmen und das Sammeln von Daten ausgerichtet waren. Interessant für die Angreifer waren dabei Details über bestimmte Hosts, Keylogging zum Sammeln von Anmeldeinformationen sowie die Auswahl von Dateien für die spätere Exfiltration zur mehrfachen Erpressung.
  • Wie im letzten Quartal auch wurden Dienstprogramme wie PsExec und Cobalt Strike sowie Software für den Fernzugriff generell für Angriffe verwendet.