End-of-Day report
Timeframe: Freitag 30-08-2024 18:00 - Montag 02-09-2024 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Administrative IT infiltriert: Cyberangriff trifft Deutsche Flugsicherung
Nach Angaben eines Unternehmenssprechers betrifft der Vorfall die Büro-IT der DFS. Auswirkungen auf den Flugverkehr hat der Angriff wohl nicht. [..] Wer genau hinter dem Cyberangriff auf die Deutsche Flugsicherung steckt, lässt sich noch nicht mit Gewissheit beantworten. [..] Derzeit sei das Unternehmen dabei, den Vorfall einzudämmen und dessen Auswirkungen zu minimieren.
https://www.golem.de/news/administrative-it-infiltriert-cyberangriff-trifft-deutsche-flugsicherung-2409-188600.html
TSA-Airport-Sicherheitskontrollen per SQL-Injection ausgehebelt
Sicherheitsforschern in den USA ist es gelungen, über SQL-Injection das FlyCASS-Sicherheitssystem zu täuschen und damit Zugangssperren zu umgehen.
https://heise.de/-9853305
Windows: Side-Loading DLL-Angriffe über licensingdiag.exe
Wer sich um den Punkt Windows-Sicherheit Gedanken macht, sollte das Befehlszeilentool licensingdiag.exe im Fokus behalten. Es ist ein weiteres "living of the land" Tool, welches für Side-Loading DLL-Angriffe genutzt werden kann.
https://www.borncity.com/blog/2024/09/01/windows-side-loading-dll-angriffe-ber-licensingdiag-exe/
Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant
Unit 42 discusses WikiLoader malware spoofing GlobalProtect VPN, detailing evasion techniques, malicious URLs, and mitigation strategies.
https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/
GitHub comments abused to push password stealing malware masked as fixes
GitHub is being abused to distribute the Lumma Stealer information-stealing malware as fake fixes posted in project comments. [..] The solution tells people to download a password-protected archive from mediafire.com or through a bit.ly URL and run the executable within it. In the current campaign, the password has been "changeme" in all the comments we have seen.
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
Docker-OSX image used for security research hit by Apple DMCA takedown
The popular Docker-OSX project has been removed from Docker Hub after Apple filed a DMCA (Digital Millennium Copyright Act) takedown request, alleging that it violated its copyright.
https://www.bleepingcomputer.com/news/security/docker-osx-image-used-for-security-research-hit-by-apple-dmca-takedown/
Cicada3301 ransomware-s Linux encryptor targets VMware ESXi systems
A new ransomware-as-a-service (RaaS) operation named Cicada3301 has already listed 19 victims on its extortion portal, as it quickly attacked companies worldwide. [..] An analysis of the new malware by Truesec revealed significant overlaps between Cicada3301 and ALPHV/BlackCat, indicating a possible rebrand or a fork created by former ALPHV's core team members. [..] For context, ALPHV performed an exit scam in early March 2024 involving fake claims about an FBI takedown operation after they stole a massive $22 million payment from Change Healthcare from one of their affiliates.
https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems/
Ausweiskopie und persönliche Daten an Kriminelle weitergegeben? Das können Sie tun
Sie wurden Opfer einer Betrugsmasche und haben dabei persönliche Daten oder sogar Ausweiskopien übermittelt? Wir zeigen Ihnen, was Sie tun können, wenn Kriminelle Ihre Daten ergaunert haben!
https://www.watchlist-internet.at/news/ausweiskopie-und-persoenliche-daten-an-kriminelle-weitergegeben-das-koennen-sie-tun/
Malware "Voldemort": Angreifer nehmen verstärkt Steuerzahler ins Visier-
Eine neue Angriffswelle zielt verstärkt auf Steuerbehörden, aber auch auf andere Behörden und Unternehmen verschiedener Länder ab, auch hierzulande. Dabei wird die Malware "Voldemort" über Phishing-Mails verbreitet. Wer klickt, installiert sich womöglich eine Backdoor. [..] Über die Hälfte der betroffenen Organisationen stammt aus den Bereichen Versicherungen, Luft- und Raumfahrt, Verkehr und Bildung.
https://heise.de/-9854106
Vulnerabilities
Fortra fixed two severe issues in FileCatalyst Workflow, including a critical flaw
Cybersecurity and automation company Fortra released patches for two vulnerabilities in FileCatalyst Workflow. Once of the vulnerabilities is a critical issue, tracked as CVE-2024-6633 (CVSS score of 9.8) described as Insecure Default in FileCatalyst Workflow Setup.
https://securityaffairs.com/167838/security/fortra-filecatalyst-critical-workflow.html
Security updates for Monday
Security updates have been issued by AlmaLinux (postgresql:16), Debian (dovecot, pymatgen, ruby2.7, systemd, and webkit2gtk), Fedora (microcode_ctl, python3.11, vim, and xen), Oracle (kernel, postgresql:12, postgresql:13, postgresql:15, and python39:3.9 and python39-devel:3.9), Slackware (libpcap), SUSE (cacti, cacti-spine, python-Django, and trivy), and Ubuntu (dovecot).
https://lwn.net/Articles/988364/
WordPress Vulnerability & Patch Roundup August 2024
https://blog.sucuri.net/2024/08/wordpress-vulnerability-patch-roundup-august-2024.html
MISP 2.4.197 released with many bugs fixed, a security fix and improvements.
https://github.com/MISP/MISP/releases/tag/v2.4.197