Der chinesische Sicherheitsanbieter Qihoo 360 hat eine massive Angriffswelle auf chinesische Regierungsbehörden aufgedeckt. Die Hintermänner sollen mit staatlicher Unterstützung handeln. Für ihre Attacken, die im März begannen, nutzen sie eine Zero-Day-Lücke in SSL-VPN-Servern von Sangfor.
Im Untersuchungsbericht von Qihoo 360 heißt es, die gesamte Angriffskette sei sehr ausgeklügelt und clever. Auf einem gehackten VPN-Server ersetzten die Cyberkriminellen eine Datei namens SangforUD.exe durch eine speziell gestaltete Version. Bei der Datei handele es sich um ein Update für den Sangfor-VPN-Client – die manipulierte Version installiere auf Client-Systemen aber stattdessen einen Backdoor-Trojaner.
Die Angriffe verfolgten die Forscher zurück zu einer DarkHotel genannten Gruppe, die auf der koreanischen Halbinsel vermutet wird. Unklar ist jedoch, ob die seit 2007 aktive Gruppe, die zu den fortschrittlichsten weltweit gezählt wird, von Nordkorea oder von Südkorea unterstützt wird.
Google-Forscher hatten im März gemeldet, dass DarkHotel im vergangenen Jahr insgesamt fünf Zero-Day-Lücken für ihre Angriffe benutzte, mehr als jede andere Gruppierung. 2020 sollen es die Hacker mit der Sangfor-Schwachstelle schon auf drei Zero-Day-Lücken bringen.
Die Motive für die aktuelle Kampagne konnten die Forscher bisher nicht eindeutig klären. Sie vermuten, dass es um Informationen zum Umgang der chinesischen Behörden mit der COVID-19-Pandemie geht. Reuters zufolge soll DarkHotel zuletzt auch gegen die Weltgesundheitsorganisation WHO vorgegangen sein, die weltweit die Bemühungen zur Eindämmung des neuartigen Corona-Virus koordiniert.
Sangfor ist die Zero-Day-Lücke seit 3. April bekannt. Nach Angaben des Unternehmens sind VPN-Server mit den Firmware-Versionen M6.3R1 und M6.1 angreifbar. Heute im Lauf des Tags sollen für alle anfälligen Systeme Updates zur Verfügung stehen. Ein Skript soll Kunden zudem helfen, kompromittierte VPN-Server aufzuspüren. Ein weiteres Tool kündigte Sangfor an, um von den Hackern eingeschleuste Dateien zu entfernen.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
