Cyberkriminelle stellen Security-Spezialisten eine Falle
Cyberkriminelle wollen Sicherheitsforscher mit einem gefälschten Proof-of-Concept (PoC)-Exploit dazu bringen, Malware herunterzuladen. Ausgenutzt wird eine bereits gepatchte Windows-Sicherheitslücke.
(PresseBox) - Auch Sicherheitsforscher sind nur Menschen und Fehler gehören nun einmal zum Leben dazu. Und manchmal kann die berufsbedingte Neugier ihnen zum Verhängnis werden. Trotzdem es ist eher ungewöhnlich, dass ausgerechnet Security-Experten ins Visier von Cyberkriminellen geraten. Doch genau das scheint einem aktuellen Bericht von Trend Micro zufolge der Fall zu sein, denn die Sicherheitsforscher haben einen gefälschten Proof-of-Concept (PoC)-Exploit entdeckt, der die bereits gepatchte Sicherheitslücke CVE-2024-49113 ausnutzt. Diese befindet sich im Windows Lightweight Directory Access Protocol (LDAP) von Microsoft und ermöglicht einen Denial-of-Service-Angriff.
Die Angreifer haben dafür ein bösartiges Repository eingerichtet, das den gefälschten PoC enthält und zum Diebstahl sensibler Computer- und Netzwerkinformationen führt. Das bösartige Repository scheint ein legitimer Fork eines ursprünglichen Repositorys zu sein, was es schwierig macht, es sofort als bösartig zu identifizieren. Dieser Angriff mit dem Namen LDAPNightmare soll insbesondere Sicherheitsforscher dazu verleiten, Malware herunterzuladen und auszuführen, die dann Informationen abzweigt.
Sobald nichts-ahnende Sicherheitsforscher den harmlos aussehenden Code herunterladen, setzen sie den Info-Stealer unwissentlich frei. Dieser sammelt dann heimlich sensible Daten vom infizierten Rechner, wie Informationen zum Computer, den laufenden Prozessen, dem Netzwerk und den installierten Updates, und sendet diese an einen von den Kriminellen kontrollierten Remote-Server.
Die Technik, mit der die Kriminellen das falsche Repository erstellt haben, ist besonders perfide, denn auf den ersten Blick handelt es sich um einen legitimen PoC. Allerdings wurden die echten Python-Dateien durch eine bösartige, ausführbare Datei ersetzt, die ein PowerShell-Skript ablegt und ausführt. Dieses Skript richtet dann eine geplante Aufgabe ein, die ein weiteres bösartiges Skript von Pastebin herunterlädt und ausführt. Dieses letzte Skript sammelt die öffentliche IP-Adresse des Opfersund exfiltriert die gestohlenen Daten auf einen externen FTP-Server.
Versuche, Sicherheitsforscher mit falschen PoC-Exploits hereinzulegen, gab es bereits in der Vergangenheit. Trotzdem ist jeder einzelne dieser Fälle eine Bedrohung für die Cybersicherheits-Community. Selbst wenn nur ein kleiner Prozentsatz der Angriffe erfolgreich ist, erlangen die Kriminellen auf diese Art wertvolle Informationen, die sie dazu nutzen können, ihre Attacken zu verfeinern oder Angriffe auf kritische Sicherheitssysteme durchzuführen. Sicherheitsforscher sollten also besonders vorsichtig vorgehen, wenn sie Code von Online-Repositories herunterladen und ausführen. Sie sollten offiziellen Quellen den Vorzug geben, Repositories auf verdächtige Inhalte untersuchen und die Authentizität des Repository-Eigentümers oder der Organisation überprüfen.
Darüber hinaus ist es wichtig, bei Repositories mit minimaler Aktivität das Feedback der Community zu berücksichtigen und auf Warnhinweise innerhalb des Repositories zu achten, die auf potenzielle Sicherheitsrisiken hindeuten könnten.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischemKnow-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
Datum: 16.01.2025 - 22:05 Uhr
Sprache: Deutsch
News-ID 2146430
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 6321 484460
Kategorie:
Dieser Fachartikel wurde bisher 1 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Cyberkriminelle stellen Security-Spezialisten eine Falle"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).