MÜNCHEN (IT BOLTWISE) – Eine neue Cyberbedrohung hat IT-Dienstleister in Südeuropa ins Visier genommen. Im Rahmen der Operation Digital Eye wurden Angriffe auf große B2B-IT-Dienstleister verübt, die von einer mutmaßlich China-nahen Gruppe durchgeführt wurden.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
In der jüngsten Cyberbedrohungskampagne, die als Operation Digital Eye bekannt ist, haben mutmaßlich China-nahe Hacker IT-Dienstleister in Südeuropa ins Visier genommen. Diese Angriffe, die zwischen Ende Juni und Mitte Juli 2024 stattfanden, wurden von den Sicherheitsunternehmen SentinelOne SentinelLabs und Tinexta Cyber entdeckt und neutralisiert, bevor es zu einer Datenexfiltration kam. Die Angreifer nutzten dabei Visual Studio Code und Microsoft Azure-Infrastrukturen für Command-and-Control-Zwecke, um ihre Aktivitäten als legitim erscheinen zu lassen.
Die Angreifer setzten auf die Nutzung von Visual Studio Code Remote Tunnels, einem legitimen Feature, das Fernzugriff auf Endpunkte ermöglicht. Dies erlaubte es ihnen, beliebige Befehle auszuführen und Dateien zu manipulieren. Diese Vorgehensweise zeigt, wie staatlich unterstützte Hacker öffentliche Cloud-Infrastrukturen nutzen, um ihre Aktivitäten im normalen Netzwerkverkehr zu verbergen. Solche Aktivitäten nutzen legitime ausführbare Dateien, die nicht durch Anwendungskontrollen und Firewall-Regeln blockiert werden.
Die Angriffsketten begannen mit SQL-Injection als initialem Zugangspunkt, um internetfähige Anwendungen und Datenbankserver zu kompromittieren. Hierbei kam das legitime Penetrationstool SQLmap zum Einsatz, das den Prozess der Erkennung und Ausnutzung von SQL-Injection-Schwachstellen automatisiert. Nach einem erfolgreichen Angriff wurde eine PHP-basierte Web-Shell namens PHPsert eingesetzt, die den Angreifern einen dauerhaften Zugang ermöglichte.
Im weiteren Verlauf der Angriffe führten die Hacker Aufklärungsmaßnahmen durch, sammelten Anmeldedaten und bewegten sich lateral zu anderen Systemen im Netzwerk. Dabei nutzten sie das Remote Desktop Protocol (RDP) und Pass-the-Hash-Techniken. Für die Pass-the-Hash-Angriffe verwendeten sie eine modifizierte Version von Mimikatz, die es ermöglicht, Prozesse im Sicherheitskontext eines Benutzers auszuführen, indem ein kompromittierter NTLM-Passworthash genutzt wird.
Die Untersuchung ergab, dass es signifikante Quellcode-Überschneidungen mit anderen chinesischen Cyber-Spionage-Aktivitäten gibt, wie Operation Soft Cell und Operation Tainted Love. Diese maßgeschneiderten Mimikatz-Modifikationen, die auch gemeinsame Code-Signatur-Zertifikate und einzigartige Fehlernachrichten oder Verschleierungstechniken umfassen, wurden unter dem Namen mimCN zusammengefasst.
Bemerkenswert ist auch die Nutzung von SSH und Visual Studio Code Remote Tunnels für die Ausführung von Remote-Befehlen. Die Angreifer nutzten GitHub-Konten zur Authentifizierung und zum Zugriff auf den Tunnel über die browserbasierte Version von Visual Studio Code. Es ist unklar, ob die Angreifer frisch registrierte oder bereits kompromittierte GitHub-Konten verwendeten.
Die Untersuchung ergab, dass die Angreifer hauptsächlich während der typischen Arbeitszeiten in China, zwischen 9 und 21 Uhr CST, in den Netzwerken der Zielorganisationen aktiv waren. Diese Kampagne unterstreicht die strategische Natur dieser Bedrohung, da das Eindringen in Organisationen, die Daten-, Infrastruktur- und Cybersicherheitslösungen für andere Branchen bereitstellen, den Angreifern einen Zugang zur digitalen Lieferkette verschafft.
Amazon-Trendangebote der letzten 24 Stunden mit bis zu 78% Rabatt (Sponsored)
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Cyberangriffe auf IT-Dienstleister in Südeuropa: Visual Studio Code im Visier" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.