Das australische Cyber Security Center warnt die Bevölkerung vor „Crypto-Jacking“-Malware
Das australische Cyber Security Center veröffentlichte in der vergangenen Woche ein Gutachten, in dem Taktiken, Techniken und Verfahren (TTP) erläutert wurden, die das Zentrum bei der Untersuchung einer Cyberkampagne gegen australische Netzwerke ermittelt hat.
Die Regierung habe das koordinierte Cyber-Targeting gegen australische Institutionen anerkannt und arbeite derzeit an einer entsprechenden Reaktion. Der 48-seitige Bericht umriss die verschiedenen Sicherheitslücken, die von der „Gruppe staatlicher Akteure“ ausgenutzt wurden, und warnte die australische Öffentlichkeit vor Angriffen durch Krypto-Jacking-Malware.
„Die australische Regierung ist sich derzeit einer anhaltenden Ausrichtung australischer Regierungen und Unternehmen durch einen hoch entwickelten staatlichen Akteur bewusst und reagiert darauf“, heißt es in dem Bericht.
In dem Bericht wurden vier Hauptschwachstellen hervorgehoben: die Verwendung der Sicherheitsanfälligkeit bezüglich Remotecodeausführung in nicht gepatchten Versionen der Telerik-Benutzeroberfläche, eine Sicherheitsanfälligkeit in Microsoft Internet Information Services (IIS), eine SharePoint-Sicherheitsanfälligkeit für 2019 und die Citrix-Sicherheitsanfälligkeit für 2019.
Es wurden auch Cyberkriminalitäts-Fälle registriert, die Spear-Phishing-Techniken anwenden.
„Sobald der erste Zugriff erreicht war, verwendete der Angreifer eine Mischung aus Open Source- und benutzerdefinierten Tools, um im Netzwerk des Opfers zu bestehen und mit ihm zu interagieren. Obwohl Tools im Netzwerk bereitgestellt werden, migriert der Akteur mit gestohlenen Anmeldeinformationen zu legitimen Remotezugriffen“, wie der Bericht erklärt.
Die kritische Sicherheitsanfälligkeit in der Telerik-Benutzeroberfläche einschließlich CVE-2019-18935 ist dieselbe Sicherheitsanfälligkeit, die kürzlich von der Blue Mockingbird Malware Gruppe verwendet wurde, um Tausende von Systemen mit der Monero-Mining-Software XMRRig zu infizieren. Obwohl die Ausarbeitung des Berichts zur Sicherheitsanfälligkeit CVE-2019-18935 Ähnlichkeiten mit dem Modus Operandi des Blue Mockingbird-Angriffs aufweist, kann dies nicht als Hinweis darauf angesehen werden, dass eine solche Bande an den organisierten Angriffen teilnahm.
Mehr als zehn chinesische Hacker-Gruppen mit angeblichen Verbindungen zur chinesischen Regierung haben die im australischen Regierungs-Bericht identifizierte PlugX-Malware in ihrem Arsenal.
Zunehmende diplomatische Spannungen zwischen beiden Ländern hinsichtlich der Untersuchung der Coronavirus-Herkunft haben einige australische Beamte zu dem Schluss geführt, China könnte hinter dem gezielten Cyberangriff stecken.
„Wir haben einige der besten Agenturen der Welt … die daran arbeiten. Das bedeutet, dass sie nichts unversucht lassen, diese Versuche zu vereiteln“, erklärte Australiens Premierminister Scott Morrison vor kurzem.