DER THREATS-REPORT

DER THREATS-REPORT

Februar 2023

Februar 2023

Präsentiert von Trellix Advanced Research Center Logo

Überblick über Bedrohungen im 4. Quartal 2022

Auch in den letzten Monaten des Jahres 2022 blieben Bedrohungsakteure eine ernstzunehmende Gefahr. Das Trellix Advanced Research Center reagierte darauf mit zusätzlichen Bedrohungsanalyse-Ressourcen für unser Team, das aus hunderten erfahrenen Sicherheitsanalysten und Forschern besteht.

"Mit anderen Worten: Wir verfügen über deutlich umfangreichere Bedrohungsdaten. Dies führt zu optimierten Sicherheitsabläufen und besseren Sicherheitsergebnissen durch weniger Stress. Bedrohungen entwickeln sich ständig weiter. Und wir halten Schritt."

In diesem Bericht erhalten Sie erstklassige Informationen darüber, welche Bedrohungsakteure, Malware-Familien, Kampagnen und Techniken im letzten Quartal am häufigsten aufgetreten sind. Doch das ist nicht alles. Wir haben auch weitere Quellen erschlossen, die Informationen aus Ransomware-Leak-Websites und Berichten der Sicherheitsbranche erfassen. Mit der Zunahme an Trellix-Ressourcen steigt auch die Zahl der Bedrohungsforschungskategorien, die beispielsweise Neues über Netzwerksicherheit, Cloud- und Endgeräte-Zwischenfälle sowie Sicherheitsabläufe abdecken.

Seit unserem letzten Bericht hat sich das Trellix Advanced Research Center mit Untersuchungen und Erkenntnissen aus aller Welt beschäftigt, zum Beispiel mit der Verbindung von Gamaredon, dem starken Anstieg an Cyber-Angriffen auf die Ukraine im 4. Quartal, dem Patchen von 61.000 anfälligen Open-Source-Projekten sowie mit der Veröffentlichung der Erkenntnisse zu den diesjährigen neuartigen Angriffen in den Bedrohungsprognosen 2023.

Die folgenden Erkenntnisse wurden durch die verbesserte Datenlage ermöglicht und veranschaulichen, wie das Trellix Advanced Research Center unseren Kunden und der Sicherheitsbranche hilft, besser auf Sicherheitsbedrohungen zu reagieren:

Ransomware

  • Forschung über die Bedeutung von LockBit 3.0 als einflussreichste Ransomware-Gruppe im 4. Quartal
  • Anhaltende weltweite Verbreitung von Ransomware, insbesondere in den USA
  • Ransomware-Angriffe auf Branchen wie Industriegüter und -dienstleistungen

Staatliche Akteure

  • Staatliche Akteure, die Branchen wie Behörden sowie das Verkehrs- und Transportwesen ins Visier nehmen
  • US-Unternehmen, die von staatlichen Akteuren angegriffen wurden

Living off the Land (LOLBIN)

  • Umfangreiche Erkenntnisse zum Einsatz von Cobalt Strike, die durch Bedrohungssuchmethoden des Trellix Advanced Research Center gewonnen wurden
  • Die hohe Anzahl an Cobalt Strike Team-Servern bei chinesischen Cloud-Anbietern
  • Bei den zehn am häufigsten missbrauchten Betriebssystem-Binärdateien wird Windows Command Shell bei nahezu der Hälfte der gemeldeten Vorfälle eingesetzt

Bedrohungsakteure

  • China, Nordkorea und Russland führen die Liste der aktivsten Länder mit Bedrohungsakteuren an

Trends in der E-Mail-Sicherheit

  • Das deutlich erhöhte Aufkommen an schädlichen E-Mails in arabischen Ländern, das während der Fußballweltmeisterschaft beobachtet wurde
  • Erkenntnisse zu Phishing- und Vishing-Kampagnen, z. B. Nachahmungstechniken und bei Vishing häufig nachgeahmte Unternehmen

Netzwerksicherheit

  • Die schwerwiegendsten, wichtigsten und relevantesten Angriffe, WebShells, Tools und Techniken des Quartals

Von Trellix XDR erfasste Telemetriedaten über Sicherheitsabläufe

  • Häufige Sicherheitswarnungen, Exploits, Protokollquellen und MITRE ATT&CK-Techniken
  • Cloud-Zwischenfälle
  • Techniken und Erkennungen für Azure, AWS und GCP
  • Häufige Techniken und Erkennungen

Brief unseres Head of Threat Intelligence

Unser Advanced Research Center-Team freut sich, den Bedrohungsbericht zu den Daten des 4. Quartals 2022 vorlegen zu können. Sie werden feststellen, dass dieser Bericht neue Produkt-Sensordaten berücksichtigt, die mit Erkenntnissen aus anderen Datenquellen wie Ransomware-Leak-Websites und beobachteten Infrastruktur-Bedrohungen kombiniert werden. Angesichts der zunehmenden Zahl an Bedrohungsakteuren und vielfältigen Methoden fühlen wir uns mehr denn je unserem Auftrag verpflichtet, unsere Kunden vor Bedrohungen zu schützen. Aufgrund der großen Unsicherheit durch die weiterhin komplexe geopolitische und ökonomische Lage steigt der Bedarf an globalen Bedrohungsanalysen.

Die wirtschaftliche Unsicherheit durch den Krieg in der Ukraine hat zu einem massiven Energiepreisschock geführt, wie ihn die Welt seit den 1970er Jahren nicht erlebt hat, der die globale Wirtschaft schwer beeinträchtigt. Zudem war die Rückkehr des Krieges in Europa ein Weckruf für diejenigen, die den Sicherheits- und Verteidigungsansatz der EU sowie ihre Fähigkeit in Frage stellen, ihre Interessen insbesondere im Cyberspace zu verteidigen. Außerdem erkannte die US-Regierung die Notwendigkeit, sich dem geostrategischen Wettbewerb und dem Schutz kritischer Infrastruktur zu widmen sowie ausländische Desinformationskampagnen zu bekämpfen. SolarWinds, Hafnium, die Ukraine und andere Ereignisse haben die Regierung und den US-Kongress zu überparteilichen Maßnahmen für Sicherheitsstandards und Fördergelder veranlasst, die in erheblichem Maße auf den Verpflichtungen der USA und der Arbeit früherer US-Regierungen aufbauen. Wie genau wirkt sich diese Unsicherheit nun auf die Cyber-Sicherheit unserer Unternehmen, öffentlichen und privaten Institutionen sowie auf unsere demokratischen Werte aus?

Im letzten Quartal sah unser Team, wie der virtuelle Raum von Staaten in den Bereichen Spionage, Kriegsführung und Desinformation aktiv zur Durchsetzung politischer, ökonomischer und territorialer Ziele genutzt wurde. Der Krieg in der Ukraine hat zudem zu neuen Formen von Cyber-Angriffen geführt, und die Hacktivisten wurden immer geschickter und wagemutiger darin, Webseiten zu verfälschen, Informationen zu leaken und DDoS-Angriffe durchzuführen. Währenddessen werden weiterhin herkömmliche Cyber-Angriffe wie Social-Engineering-Angriffe (z. B. Phishing) genutzt, um die Angriffsopfer zu täuschen und dazu zu bringen, vertrauliche oder persönliche Informationen preiszugeben.

Darüber hinaus spielt Ransomware bei Unternehmen weltweit weiterhin eine große Rolle. Ähnlich wie bereits während der COVID-19-Pandemie stellen sich Cyber-Kriminelle schnell auf Unsicherheiten und Krisen ein, um davon zu profitieren. Ebenso wie sich die Bedrohungslandschaft weiterentwickelt, wird sich auch unsere Forschung ständig weiterentwickeln. Wir werden uns nach wie vor darauf konzentrieren, die Effektivität unserer Produkte zu verbessern und unsere Experten mit verwertbaren Informationen zu versorgen, damit sie wichtige Assets schützen können. Dieser Bericht macht deutlich, wie wichtig jedem Mitarbeiter die Arbeit des Trellix Advanced Research Centers ist. Alle Forscher und Experten in unserem Team widmen sich jedem Projekt mit Sorgfalt und viel Herzblut.

Teilen Sie uns mit, was Sie von diesem umfangreichen Bericht halten, und ob es Bereiche gibt, über die Sie mehr erfahren möchten. Kontaktieren Sie dazu mich oder unser Team auf Twitter unter @TrellixARC. Wir freuen uns auch darauf, Sie im April auf der RSA in San Francisco zu sehen.

Methoden

Die Backend-Systeme von Trellix stellen Telemetriedaten bereit, die wir als Input für unsere vierteljährlichen Threats-Reports nutzen. Wir kombinieren unsere Telemetriedaten mit Open-Source-Daten zu Bedrohungen und unseren eigenen Untersuchungen weit verbreiteter Bedrohungen wie Ransomware, Aktivitäten staatlicher Akteure usw.

Bei Telemetrie geht es um Erkennungen, nicht um Infektionen. Eine Erkennung wird erfasst, wenn eines unserer Produkte eine Datei, URL, IP-Adresse oder einen anderen Indikator erkennt und dies an uns meldet. 

Wir wissen beispielsweise, dass viele Unternehmen für Effektivitätstests Frameworks nutzen, die auf echte Malware-Proben zurückgreifen. Diese werden als Erkennung angezeigt, stellen jedoch keinesfalls eine Infektion dar. 

Das Analysieren und Herausfiltern von False-Positives aus den Telemetriedaten wird kontinuierlich weiterentwickelt, wodurch neue Bedrohungskategorien entstehen können, die in früheren Berichten nicht vorkamen.

Außerdem entstehen dadurch neue Bedrohungskategorien, sodass immer mehr Trellix-Teams am vierteljährlichen Bericht mitwirken.

Die Privatsphäre unserer Kunden ist uns immer wichtig, auch bei der Telemetrie und Abbildung der Sektoren und Länder unserer Kunden. Der Kundenstamm variiert je nach Land, und es ist möglich, dass die Zahlen zwar einen Anstieg zeigen, wir uns die Daten aber genauer ansehen müssen, um sie richtig interpretieren zu können. Ein Beispiel: Der Telekommunikationssektor liegt in unseren Daten oft weit oben. Das muss aber nicht zwangsläufig bedeuten, dass dieser Sektor übermäßig häufig angegriffen wird. Der Telekommunikationssektor umfasst auch Internetdienstanbieter (Internet Service Provider, ISP) mit eigenen IP-Adressräumen, die von Unternehmen erworben werden können. Was bedeutet das? Meldungen aus dem IP-Adressraum des ISP werden zwar als Erkennungen für den Telekommunikationsbereich gewertet, könnten aber von ISP-Kunden stammen, die in einem anderen Sektor tätig sind.

Ransomware: 4. Quartal 2022

 

In diesem Abschnitt stellen wir die verschiedenen Erkenntnisse vor, die wir über die Aktivitäten von Ransomware-Gruppen gesammelt haben. Die Informationen wurden aus mehreren Quellen erfasst, sodass ein besseres Bild über die Bedrohungslandschaft entsteht und Beobachtungsfehler verringert werden. Außerdem können wir auf diese Weise feststellen, welche Ransomware-Familie im 4. Quartal 2022 am einflussreichsten war. Die erste Quelle ist eine quantitative Quelle und zeigt die Ransomware-Kampagnen-Statistik, die aus der Korrelation der Kompromittierungsindikatoren (IOCs) für Ransomware und den Telemetriedaten von Trellix-Kunden gewonnen wurde. Die zweite ist eine qualitative Quelle und zeigt eine Analyse verschiedener Berichte der Sicherheitsbranche, die von der Threat Intelligence-Gruppe gründlich überprüft und analysiert wurden. Die dritte Quelle ist eine neue Kategorie und besteht aus Berichten über Ransomware-Opfer, die aus zahlreichen Leak-Websites von Ransomware-Gruppen zusammengetragen wurden. Die Daten wurden normalisiert, angereichert und analysiert, um eine anonymisierte Version der Ergebnisse zeigen zu können.

Mit den verschiedenen Perspektiven möchten wir möglichst viele der Puzzleteile bereitstellen, aus denen sich die aktuelle Bedrohungslandschaft zusammensetzt, denn sie liefern für sich allein genommen kein vollständiges Bild. Niemand hat Zugang zu allen Protokollen aller mit dem Internet verbundenen Systeme, nicht alle Sicherheitszwischenfälle werden gemeldet und nicht alle Opfer werden erpresst oder auf Leak-Websites gelistet. Deshalb kann die Kombination der verschiedenen Sichtweisen das Verständnis der zahlreichen Bedrohungen verbessern und zudem unsere eigenen blinden Flecken minimieren.

Eine fundierte Bewertung der Situation ergibt sich aus der Kombination quantitativer und qualitativer Daten aus verschiedenen Quellen, um eventuelle Nachteile und blinde Flecken zu reduzieren.

Ransomware-Highlights im 4. Quartal 2022

Einflussreichste Ransomware-Gruppe im 4. Quartal 2022: LockBit 3.0

  • 1. Die Leak-Website von LockBit 3.0 meldete die höchste Zahl von Ransomware-Opfern des Quartals. Die Gruppe versucht daher besonders intensiv, ihre Opfer durch Anprangern und Bloßstellen unter Druck zu setzen.
  • 2. Laut der Analyse zahlreicher Kampagnen durch die Threat Intelligence-Gruppe lag LockBit 3.0 – zusammen mit der Ransomware Cuba – auf Rang zwei der am häufigsten von der Sicherheitsbranche gemeldeten Ransomware-Gruppen.
  • 3. Gemäß der Analyse der Ransomware-Telemetriedaten aus den weltweit verteilten Trellix-Sensoren lag LockBit 3.0 auf Rang drei der einflussreichsten Ransomware-Gruppen des Quartals.

Dies sind weitere Kategorien und Erkenntnisse zu LockBit 3.0 aus dem 4. Quartal 2022:

Von LockBit 3.0 am stärksten betroffene Branchen, 4. Quartal 2022

29

Laut der Leak-Website der Gruppe war die Branche Industriegüter und -dienstleistungen im 4. Quartal 2022 am stärksten von LockBit 3.0 betroffen.

Von LockBit 3.0 am stärksten betroffene Unternehmen, nach Land, 4. Quartal 2022

49

Laut der Leak-Webseite der Gruppe waren US-Unternehmen im 4. Quartal 2022 am häufigsten (49 %) von LockBit 3.0 betroffen, gefolgt von britischen Unternehmen.

Ransomware aus der Perspektive unserer Telemetriedaten

Die folgenden Statistiken basieren auf Korrelationen zwischen unseren Telemetriedaten und unserer Knowledge Base für Bedrohungsdaten. Nach einer Analysephase identifizieren wir mithilfe dieser Daten Kampagnen innerhalb eines bestimmten Zeitraums und extrahieren ihre Merkmale. Die gezeigten Statistiken beziehen sich auf die Kampagnen, nicht auf die Erkennungen selbst. Unsere globalen Telemetriedaten haben Kompromittierungsindikatoren (IOCs) aufgezeigt, die zu verschiedenen Kampagnen von verschiedenen Ransomware-Gruppen gehören. Die folgenden Ransomware-Familien mit ihren jeweiligen Tools und Techniken zählen zu den am häufigsten vertretenen Familien in den identifizierten Kampagnen. Gleichzeitig sind die folgenden Länder und Branchen am stärksten von den identifizierten Kampagnen betroffen.

Am weitesten verbreitete Ransomware-Familien, 4. Quartal 2022

22

Cuba war im 4. Quartal 2022 die häufigste Ransomware-Familie. Die Ransomware Zeppelin wurde oft von Vice Society eingesetzt. Erfahren Sie mehr über die Leaks der Yanluowang-Daten

Am häufigsten von Ransomware-Gruppen genutzte böswillige Tools, 4. Quartal 2022

41

Cobalt Strike war im 4. Quartal 2022 das von Ransomware-Gruppen am häufigsten genutzte böswillige Tool.

1.

Cobalt Strike

41 %

2.

Mimikatz

23 %

3.

BURNTCIGAR

13 %

4.

VMProtect

12 %

5.

POORTRY

11 %

Am häufigsten von Ransomware-Gruppen genutzte MITRE-ATT&CK-Techniken, 4. Quartal 2022

1.

Datenverschlüsselung für mehr Auswirkung

17 %

2.

Erkennung von Systeminformationen

11 %

3.

PowerShell

10 %

4.

Eintrittstool-Übertragung

10 %

5.

Windows Command Shell

9 %

Am häufigsten von Ransomware-Gruppen genutzte harmlose Tools, 4. Quartal 2022

21

CMD war im 4. Quartal 2022 das von Ransomware-Gruppen am häufigsten genutzte harmlose Tool.

1.

Cmd

21 %

2.

PowerShell

14 %

3.

Net

10 %

4.

Reg

8 %

5.

PsExec

8 %

Am stärksten von Ransomware-Gruppen betroffene Länder, 4. Quartal 2022

29

Laut den Trellix-Telemetriedaten war die USA im 4. Quartal 2022 das am stärksten von Ransomware-Gruppen betroffene Land.

Am stärksten von Ransomware-Familien betroffene Branchen, 4. Quartal 2022

29

Laut den Trellix-Telemetriedaten war Outsourcing und Hosting im 4. Quartal 2022 die am stärksten von Ransomware-Gruppen betroffene Branche. Dies korreliert mit der durchschnittlichen Größe der betroffenen Unternehmen, die auf Leak-Websites aufgeführt werden. Häufig haben diese Unternehmen keinen eigenen zugewiesenen IP-Adressenblock und sind auf Drittanbieter angewiesen.

Von der Sicherheitsbranche gemeldete Ransomware

Die folgenden Statistiken beruhen auf öffentlichen Berichten sowie interner Forschung. Bitte beachten Sie, dass nicht alle Ransomware-Zwischenfälle gemeldet werden. Viele Ransomware-Familien sind seit einiger Zeit aktiv und fallen dadurch in den jeweiligen Quartalen naturgemäß weniger auf als neue Familien. Daher geben diese Zahlen Aufschluss über die Ransomware-Familien, die von der Sicherheitsbranche im 4. Quartal 2022 als besonders einflussreich und relevant eingestuft wurden.

Am weitesten verbreitete Ransomware-Familien, 4. Quartal 2022

15

Laut Berichten der Sicherheitsbranche wurden im 4. Quartal 2022 am häufigsten die Ransomware-Familien Black Basta und Magniber gemeldet.

Häufige Angriffstechniken von Ransomware-Familien, 4. Quartal 2022

19

Laut Berichten der Sicherheitsbranche wurde im 4. Quartal 2022 am häufigsten die Ransomware-Angriffstechnik "Datenverschlüsselung für mehr Auswirkung" gemeldet.

1.

Datenverschlüsselung für mehr Auswirkung

19 %

2.

Windows Command Shell

11 %

3.

Erkennung von Systeminformationen

10 %

4.

Eintrittstool-Übertragung

10 %

5.

PowerShell

10 %

Am häufigsten von Ransomware-Familien angegriffene Branchen, 4. Quartal 2022

16

Laut Berichten der Sicherheitsbranche wurde das Gesundheitswesen im 4. Quartal 2022 von allen Branchen am häufigsten von Ransomware-Familien angegriffen.

Am häufigsten von Ransomware-Familien angegriffene Länder, 4. Quartal 2022

19

Laut den Berichten der Sicherheitsbranche wurde im 4. Quartal 2022 die USA am stärksten von Ransomware-Gruppen angegriffen.

Am häufigsten von Ransomware-Gruppen genutzte MITRE-ATT&CK-Techniken, 4. Quartal 2022 2022

1.

CVE-2021-31207
CVE-2021-34474
CVE-2021-34523

16%
16%
16%

2.

CVE-2021-34527

13 %

3.

CVE-2021-26855
CVE-2021-27065

9 %
9 %

Von gemeldeten Ransomware-Familien genutzte böswillige Tools, 4. Quartal 2022

44

Laut Berichten der Sicherheitsbranche wurde im 4. Quartal 2022 von den gemeldeten Ransomware-Familien das böswillige Tool Cobalt Strike am häufigsten eingesetzt.

1.

Cobalt Strike

44 %

2.

QakBot

13 %

3.

IcedID

9 %

4.

BURNTCIGAR

7 %

5.

Carbanak
SystemBC

7 %
7 %

Von gemeldeten Ransomware-Familien genutzte harmlose Tools, 4. Quartal 2022

21

Laut Berichten der Sicherheitsbranche wurde im 4. Quartal 2022 von den gemeldeten Ransomware-Familien das harmlose Tool PowerShell am häufigsten eingesetzt.

1.

PowerShell

21 %

2.

Cmd

18 %

3.

Rund1132

11 %

4.

VSSAdmin

10 %

5.

WMIC

9 %

Berichte über Ransomware-Opfer auf Leak-Websites, 4. Quartal 2022

Die Daten in diesem Abschnitt stammen von sogenannten Leak-Websites verschiedener Ransomware-Gruppen, die ihre Opfer mit der Veröffentlichung von Informationen der Betroffenen auf ihren Webseiten erpressen. Wenn die Verhandlungen ins Stocken geraten oder die Opfer das Lösegeld nicht bis zum Ablauf der Frist zahlen, veröffentlicht die Gruppe Informationen, die sie von den Opfern erbeutet hat. Wir sammeln mithilfe des Open-Source-Tools RansomLook zahlreiche Beiträge, die wir intern normalisieren und anreichern, um eine anonymisierte Version der Opferanalyse zu erstellen.

Dabei muss beachtet werden, dass nicht alle Ransomware-Opfer auf den jeweiligen Leak-Websites erscheinen. Viele Opfer zahlen das Lösegeld und werden dort nicht erwähnt. Die Zahlen sind ein Gradmesser für die Opfer, die von Ransomware-Gruppen erpresst oder bestraft wurden, und sollten nicht mit der Gesamtzahl der Opfer gleichgesetzt werden.

Ransomware-Gruppen mit den meisten gemeldeten Opfern, 4. Quartal 2022

26

Unter den Top-10-Ransomware-Gruppen mit der größten Anzahl von Opfern auf den jeweiligen Leak-Websites entfielen im 4. Quartal 2022 allein 26 % auf LockBit 3.0.

Laut Leak-Websites von Ransomware-Gruppen betroffene Branchen, 4. Quartal 2022

32

Laut den Leak-Websites waren im 4. Quartal 2022 Industriegüter und -dienstleistungen die am stärksten von Ransomware-Gruppen betroffene Branche. Industriegüter und -dienstleistungen umfassen alle materiellen Produkte und immateriellen Dienstleistungen, die hauptsächlich im Bauwesen und in der Herstellung verwendet werden.

Laut Leak-Websites von Ransomware-Gruppen betroffene Länder, 4. Quartal 2022

63

Im 4. Quartal 2022 kamen 63 % der zehn am häufigsten auf Leak-Websites von Ransomware-Gruppen aufgeführten Unternehmen aus den USA, gefolgt von Großbritannien (8 %) und Kanada.

Statistiken zu staatlichen Akteuren: 4. Quartal 2022

 

In diesem Abschnitt stellen wir die von uns gesammelten Erkenntnisse über die Aktivitäten staatlicher Akteure vor. Die Informationen wurden aus mehreren Quellen zusammengetragen, um ein besseres Bild der Bedrohungslandschaft zu gewinnen und Beobachtungsfehler zu verringern. Zunächst präsentieren wir die Statistik, die aus der Korrelation der IOCs staatlicher Akteure und den Telemetriedaten von Trellix-Kunden gewonnen wurden. Danach folgen die Erkenntnisse aus verschiedenen Berichten, die von der Sicherheitsbranche veröffentlicht und von der Threat Intelligence-Gruppe gründlich überprüft und analysiert wurden.

Wichtige Fakten zu staatlichen Akteuren, 4. Quartal 2022

  • In den USA und Deutschland gab es einen deutlichen Anstieg bei Angriffen staatlicher Akteure.
  • China und Vietnam agierten im 4. Quartal als staatliche Akteure.

Statistiken zu staatlichen Akteuren aus der Perspektive unserer globalen Telemetrie

Die folgenden Statistiken basieren auf Korrelationen zwischen unseren Telemetriedaten und unserer Knowledge Base für Bedrohungsdaten. Nach einer Analysephase identifizieren wir in den Daten Kampagnen innerhalb eines bestimmten Zeitraums und extrahieren ihre Merkmale. Die gezeigten Statistiken beziehen sich auf die Kampagnen, nicht auf die Erkennungen selbst. Aufgrund zahlreicher Protokollverdichtungen, des Einsatzes von Bedrohungssimulationen durch unsere Kunden und allgemeiner Korrelationen mit der Knowledge Base für Bedrohungsdaten werden die Daten manuell gefiltert, um gewünschte Kriterien zu erfüllen.

Unsere globalen Telemetriedaten haben Kompromittierungsindikatoren (IOCs) aufgezeigt, die mit verschiedenen Kampagnen von APT-Gruppen (Advanced Persistent Threat, hochentwickelte hartnäckige Bedrohungen) in Zusammenhang stehen. Die folgenden Länder und Bedrohungsakteure mit ihren jeweiligen Tools und Techniken sind bei den identifizierten Kampagnen am häufigsten vertreten. Gleichzeitig sind die folgenden Länder und Branchen am stärksten von den identifizierten Kampagnen betroffen.

Erkenntnisse basierend auf Telemetriedaten über staatliche Akteure

Länder mit den meisten Aktivitäten staatlicher Akteure, 4. Quartal 2022

71

China war im 4. Quartal 2022 das Land mit den meisten Aktivitäten staatlicher Akteure.

Aktivste Gruppen von Bedrohungsakteuren, 4. Quartal 2022

37

Laut den Telemetriedaten über staatliche Akteure war im 4. Quartal 2022 Mustang Panda die aktivste Gruppe von Bedrohungsakteuren.

Bei Aktivitäten staatlicher Akteure am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

DLL Side-Loading

14 %

2.

Rundll32

13 %

3.

Verschleierte Dateien oder Informationen

12 %

4.

Windows Command Shell

11 %

5.

Schlüssel zur Registrierungsausführung/Systemstartordner

10 %

Bei Aktivitäten staatlicher Akteure am häufigsten genutzte böswillige Tools, 4. Quartal 2022 2022

1.

PlugX

24 %

2.

BLUEHAZE

23 %

3.

DARKDEW

23 %

4.

MISTCLOAK

23 %

5.

Remote-Zugriffs-Trojaner ISX

2 %

Bei Aktivitäten staatlicher Akteure am häufigsten genutzte harmlose Tools, 4. Quartal 2022

1.

Rundll32

22 %

2.

Cmd

19 %

3.

Reg

17 %

4.

Ncat

12 %

5.

Regsv132

6 %

Laut Leak-Websites von Ransomware-Gruppen betroffene Länder, 4. Quartal 2022

55

Die USA war das im 4. Quartal 2022 am stärksten von Aktivitäten staatlicher Akteure betroffene Land.

Laut Leak-Websites von Ransomware-Gruppen betroffene Länder, 4. Quartal 2022

69

Das Transportwesen war die im 4. Quartal 2022 am stärksten von Aktivitäten staatlicher Akteure betroffene Branche.

Zwischenfälle durch staatliche Akteure laut öffentlichen Berichten, 4. Quartal 2022

Die Statistiken beruhen auf öffentlichen Berichten und interner Forschung – nicht auf Telemetriedaten aus den Protokollen unserer Kunden. Bitte beachten Sie, dass nicht alle Zwischenfälle mit staatlichen Akteuren gemeldet werden. Viele Kampagnen nutzen Techniken, Taktiken und Prozeduren (TTPs), die bereits bekannt sind und daher seltener gemeldet werden. In der Branche liegt der Fokus stärker auf neuartigen Kampagnen, bei denen die Akteure etwas Neues versucht oder einen Fehler begangen haben. Die Zahlen geben Aufschluss darüber, was von der Sicherheitsbranche im 4. Quartal 2022 als aufschlussreich und relevant eingestuft wurde.

Bei Kampagnen staatlicher Akteure am häufigsten gemeldete Länder, 4. Quartal 2022

37

Im 4. Quartal 2022 kamen 37 % der öffentlich gemeldeten Kampagnen von staatlichen Akteuren aus China.

1.

China

37 %

2.

Nordkorea

24 %

3.

Iran

1 %

4.

Russland

1 %

5.

Indien

1 %

Bei gemeldeten Aktivitäten staatlicher Akteure am häufigsten auftretende Bedrohungsakteure, 4. Quartal 2022

33

Lazarus war im 4. Quartal 2022 der aktivste Bedrohungsakteur unter den gemeldeten Aktivitäten staatlicher Akteure.

1.

Lazarus

14 %

2.

Mustang Panda

13 %

3.

APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti-Gruppe

je 1 %

Bei Aktivitäten staatlicher Akteure am häufigsten genutzte harmlose Tools, 4. Quartal 2022

1.

Rund1132

22 %

2.

Cmd

19 %

3.

Reg

17 %

4.

Ncat

12 %

5.

Regsv132

6 %

Am häufigsten von gemeldeten Kampagnen staatlicher Akteure angegriffene Länder, 4. Quartal 2022

16

Die USA war das im 4. Quartal 2022 am häufigsten von Kampagnen staatlicher Akteure angegriffene Land.

Am häufigsten von gemeldeten Kampagnen staatlicher Akteure angegriffene Branchen, 4. Quartal 2022

33

Von allen Branchen wurden Behörden im 4. Quartal 2022 am häufigsten durch gemeldete Kampagnen staatlicher Akteure angegriffen, gefolgt von Militär (11 %) und Telekommunikation (11 %).

Bei gemeldeten Kampagnen staatlicher Akteure am häufigsten genutzte böswillige Tools, 4. Quartal 2022

1.

PlugX

22 %

2.

Cobalt Strike Korea

17 %

3.

Metasploit

13 %

4.

BlindingCan

9 %

5.

Scanbox
ShadowPad
ZeroCleare

je 9 %

Bei gemeldeten Kampagnen staatlicher Akteure am häufigsten genutzte harmlose Tools, 4. Quartal 2022

1.

Cmd

32 %

2.

Rund1132

20 %

3.

PowerShell

14 %

4.

Reg

8 %

5.

Schtasks.exe

7 %

Bei gemeldeten Kampagnen staatlicher Akteure am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

Eintrittstool-Übertragung

13 %

2.

Erkennung von Systeminformationen

13 %

3.

Verschleierte Dateien oder Informationen

12 %

4.

Web-Protokolle

11 %

5.

Entschleierung/Dekodierung von Dateien oder Informationen

11 %

Bei gemeldeten Kampagnen staatlicher Akteure beobachtete ausgenutzte Schwachstellen, 4. Quartal 2022

CVE-2017-11882

CVE-2020-17143

CVE-2021-44228

CVE-2021-21551

CVE-2018-0802

CVE-2021-26606

CVE-2021-26855

CVE-2021-26857

CVE-2021-27065

CVE-2021-26858

CVE-2021-34473

CVE-2021-28480

CVE-2021-34523

CVE-2021-28481

CVE-2015-2545

CVE-2021-28482

CVE-2017-0144

CVE-2021-28483

CVE-2018-0798

CVE-2021-31196

CVE-2018-8581

CVE-2021-31207

CVE-2019-0604

CVE-2021-40444

CVE-2019-0708

CVE-2021-45046

CVE-2019-16098

CVE-2021-45105

CVE-2020-0688

CVE-2022-1040

CVE-2020-1380

CVE-2022-30190

CVE-2020-1472

CVE-2022-41128

CVE-2020-17141

 

Living off the Land (LOLBIN) und Drittanbieter-Tools: 4. Quartal 2022

 

Aus den Beobachtungen der Trellix Insights-Plattform ergaben sich folgende Informationen und Einblicke in die Bedrohungslandschaft des 4. Quartals 2022:

Wichtige Fakten zu LOLBIN-Angriffen, 4. Quartal 2022

  • Living off the Land-Techniken werden weiterhin genutzt, z. B. für Erstzugriff, Ausführung, Erkennung, Persistenz und Wirkung.
  • Daten aus dem 4. Quartal 2022 zeigen, dass nach wie vor Befehls- und Skripttechniken über die Windows-Befehlszeile (Windows Command Shell) oder PowerShell ausgeführt werden und dies damit die am häufigsten (aus)genutzte Technik ist.
  • Kriminelle – APT-Akteure, finanziell motivierte Gruppen sowie "woke" Hacktivisten – setzen Living off the Land-Taktiken sehr häufig ein.

Auch Neulinge, Gelegenheitskriminelle und Skript-Kiddies, die sich als Akteure versuchen, nutzen die bereits in das beliebte Exploit-Framework integrierten Binärdateien beim amateurhaften Hacken von Rechnern oder Ausnutzen von Schwachstellen.

Living off the Land-Techniken werden weiterhin für schädliche Zwecke wie Erstzugriff, Ausführung, Erkennung, Persistenz und Wirkung (aus)genutzt. Die Daten aus dem 4. Quartal 2022 zeigen, dass nach wie vor Befehls- und Skripttechniken über die Windows-Befehlszeile (Windows Command Shell) und PowerShell ausgeführt werden und dies die am häufigsten (aus)genutzte Technik ist.

Betriebssystem-Binärdateien mit der weitesten Verbreitung, 4. Quartal 2022

47

Bei den zehn im 4. Quartal 2022 am häufigsten missbrauchten Betriebssystem-Binärdateien wird Windows Command Shell bei nahezu der Hälfte (47 %) der gemeldeten Vorfälle eingesetzt, gefolgt von PowerShell (32 %) und Rundll32 (27 %).

1.

Windows Command Shell

47 %

2.

PowerShell

32 %

3.

Rund132

27 %

4.

Schtasks

23 %

5.

WMI

21 %

Am häufigsten genutzte Drittanbieter-Tools, 4. Quartal 2022

1.

Remote-Zugriffs-Tools

58 %

2.

Dateiübertragung

22 %

3.

Post-Exploitation-Tools

20 %

4.

Netzwerkerkennung

16 %

5.

AD-Erkennung

10 %

Kriminelle – APT-Akteure, finanziell motivierte Gruppen sowie "woke" Hacktivisten – setzen Living off the Land-Taktiken sehr häufig ein. Auch Neulinge, Gelegenheitskriminelle und Skript-Kiddies, die sich als Akteure versuchen, nutzen die bereits vorhandenen Binärdateien beim amateurhaften Hacken von Rechnern oder Ausnutzen von Schwachstellen.

Über unsere Trellix Insights-Plattform erfasste Ereignisse, bei denen Bedrohungsakteure Windows-Binärdateien nutzten, führten zur Bereitstellung weiterer Malware wie Information Stealer-Programme, Remote-Zugriff-Trojaner oder Ransomware. Möglicherweise wurden Binärdateien wie MSHTA, WMI oder WScript ausgeführt, um weitere Schaddaten aus den von den Angreifern kontrollierten Ressourcen abzurufen.

Tools für Remote-Zugriff und -Kontrolle werden von Bedrohungsakteuren weiterhin bevorzugt missbraucht. Dazu zählen auch Tools, die eigentlich für Sicherheitsexperten gedacht sind. Häufig verwenden Bedrohungsakteure sie, um Beacons aufrechtzuerhalten, Exfiltrationen zu automatisieren oder Informationen zu sammeln und zu komprimieren.

Von kostenlosen und Open Source-Tools werden Packprogramme missbraucht, um eine legitime Software zusammen mit schädlichen Inhalten zu verpacken oder um Malware zu packen. Mit diesen Taktiken versuchen sie, einer Erkennung zu entgehen und Analysen zu erschweren.

Erkenntnisse zu Cobalt Strike, 4. Quartal 2022

Die Threat Intelligence-Gruppe des Trellix Advanced Research Center überwacht die Nutzung der Cobalt Strike Team-Server (Cobalt Strike-Command-and-Control-Server) und kombiniert dazu Bedrohungssuchmethoden für Schaddaten und Infrastruktur. Nachfolgend präsentieren wir Ihnen die Erkenntnisse, die wir bei der Analyse der gesammelten Cobalt Strike-Beacons gewonnen haben:

15

Cobalt Strike-Testlizenzen

Nur 15 % der identifizierten Cobalt Strike-Beacons hatten eine Testlizenz für Cobalt Strike. Diese Version von Cobalt Strike besitzt die meisten bekannten Funktionen des Post-Exploitation-Tools, fügt jedoch verräterische Zeichen hinzu und entfernt die Verschlüsselung während der Übertragung, sodass die Schaddaten leicht von Sicherheitslösungen erkannt werden können.

5

Host HTTP-Header

Mindestens 5 % der beobachteten Cobalt Strike-Beacons verwendeten den Host HTTP-Header – eine Option, die das Domain Fronting mit Cobalt Strike erleichtert. Beim Domain Fronting werden CDNs (Content Delivery Networks) missbraucht, die mehrere Domänen hosten. Die Angreifer verbergen eine HTTPS-Anfrage zu einer schädlichen Webseite unter einer TLS-Verbindung zu einer legitimen Webseite.

87

Rundll32.exe

Rundll32.exe ist der Standardprozess zum Erstellen von Sitzungen und zur Ausführung von Post-Exploitation-Aufgaben. Er wurde in 87 % der identifizierten Beacons gefunden.

22

DNS-Beacons

22 % der identifizierten Cobalt Strike-Beacons waren DNS-Beacons. Dieser Schaddaten-Typ kommuniziert mit dem Cobalt Strike Team-Server der Angreifer (dem autoritativen Server der Domäne) über DNS-Anfragen, um seine Aktivitäten zu verschleiern.

Länder, die Cobalt Strike Team-Server am häufigsten hosten, 4. Quartal 2022

50

Die Hälfte aller im 4. Quartal 2022 erkannten Cobalt Strike Team-Server befanden sich in China, was vor allem auf den Umfang des in China verfügbaren Cloud-Hosting-Angebots zurückzuführen ist.

Gootloader, 4. Quartal 2022

Gootloader ist eine modulare Malware, die in einigen Fällen synonym mit einer anderen Malware namens "GootKit" oder "GootKit Loader" verwendet wird. Die aktuellen modularen Funktionen der Malware Gootloader werden zur Verteilung weiterer Schaddaten wie REvil, Kronos, Cobalt Strike und Icedid genutzt.

Vor kurzem wurde beobachtet, wie Gootloader Suchmaschinenoptimierung (Search Engine Optimization, SEO) nutzte, um ahnungslose Benutzer auf kompromittierte oder gefälschte Webseiten zu locken, auf denen sich eine Archivdatei befand, die eine schädliche JavaScript-Datei enthielt. Bei dieser Technik müssen die Benutzer jedoch das Archiv öffnen und den Inhalt ausführen, wodurch wiederum der JavaScript-Code über den Windows Scripting Host ausgeführt wird. Nach der erfolgreichen Ausführung kommuniziert Gootloader mit einem C&C-Server (Command-and-Control) und ruft weitere Malware ab.

Bei Gootloader handelt es sich vermutlich um Malware-as-a-Service (MaaS), die im Abonnement angeboten wird. Sie ermöglicht Bedrohungsakteuren, mehrere zusätzliche Schaddaten zu laden und stellt daher eine erhebliche Bedrohung für Unternehmensumgebungen dar.

Über unseren internen Gootloader-Tracker haben wir eine aktuelle Variante identifiziert, die am 18. November 2022 beobachtet wurde, sowie ältere Varianten, die nach dem 13. November 2022 nicht mehr auftraten. Die neueste Variante enthält folgende Änderungen:

  • Entfernung der Funktion zur Manipulation von Registrierungen
  • Steigerung der Remote-Netzwerk-Anfragen auf zehn URLs statt drei
  • PowerShell-Skripte können über CScript aufgerufen werden
  • Persistenz für alle Benutzeranmeldungen

Unser Tracking-Prozess für Gootloader

Die neue Gootloader-Variante wurde mit mehreren Verschleierungsebenen weiterentwickelt. Jede verschachtelte Phase verwendet nach dem Entpacken Variablen, die aus den vorherigen Phasen geladen wurden. Dadurch wird die Analyse erschwert. Die bei unserer YARA-Bedrohungssuche gesammelten Proben werden in ein statisches JavaScript- und PowerShell-Analyseprogramm eingespeist, um IOCs wie C&C-Server und eindeutige ID-Signaturen zu extrahieren. Die IOCs können dazu dienen, bestimmte Instanzen von Gootloader auf anderen Systemen zu erkennen und zu beobachten.

Danach wird mithilfe von Anfragen an die Trellix-Datenbank für URL-Reputation festgestellt, bei welchen der extrahierten Gootloader-IOCs es sich um schädliche, potenziell kompromittierte legitime Domänen und bei welchen es sich um legitimen Domänen handelt, die als Köder Analysen behindern sollen.

Erkenntnisse basierend auf Gootloader-Telemetriedaten

Die nachstehenden Statistiken beziehen sich auf die Kampagnen, die aus den extrahierten IOCs und den Protokollen unserer Kunden korreliert wurden, und nicht die Erkennungen selbst. Bei Gootloader beruhen die meisten Erkennungen auf Domänentreffern. Da die Malware Köder-Domänen verwendet, sollten die Statistiken mit Vorsicht und mit mittlerer Konfidenz interpretiert werden.

Am stärksten mit Gootloader angegriffene Länder, 4. Quartal 2022

37

Die USA war im 4. Quartal 2022 das Land, das am stärksten mit Gootloader angegriffen wurde.

1.

USA

37 %

2.

Italien

19 %

3.

Indien

11 %

4.

Indonesien

9 %

5.

Frankreich

5 %

Am häufigsten von Gootloader genutzte MITRE-ATT&CK-Techniken, 4. Quartal 2022

1.

Entschleierung/Dekodierung von Dateien oder Informationen

2.

JavaScript

3.

Verschleierte Dateien oder Informationen

4.

PowerShell

5.

Process Hollowing

Am stärksten mit Gootloader angegriffene Branchen, 4. Quartal 2022

56

Die Telekommunikationsbranche wurde im 4. Quartal 2022 am häufigsten mit Gootloader angegriffen.

Am häufigsten von Gootloader genutzte MITRE-ATT&CK-Techniken, 4. Quartal 2022


Entschleierung/Dekodierung von Dateien oder Informationen
JavaScript
Verschleierte Dateien oder Informationen
PowerShell
Process Hollowing
Reflective Code Loading
Schlüssel zur Registrierungsausführung/Systemstartordner
Rundll32
Geplanter Task

Schwachstelleninformationen: 4. Quartal 2022

 

Unser Schwachstellen-Dashboard gibt einen Überblick über die Analysen der neuesten schwerwiegenden Schwachstellen. Die Analyse und die Triage werden von Schwachstellenexperten des Trellix Advanced Research Center durchgeführt. Diese Forscher, die sich auf Reverse Engineering und Schwachstellenanalyse spezialisiert haben, beobachten kontinuierlich die neuesten Schwachstellen und wie diese von Bedrohungsakteuren in Angriffen genutzt werden. Daraus leiten sie Behebungsempfehlungen ab und geben kompakte und äußerst technische Expertenhinweise, die Ihnen helfen, das Wichtige vom Unwichtigen zu trennen, sodass Sie sich auf die für Ihr Unternehmen schwerwiegendsten Schwachstellen konzentrieren und schneller reagieren können.

Wichtige Fakten zu Schwachstelleninformationen, 4. Quartal 2022

41

Auf Lanner entfielen 41 % der anfälligen Produkte und Anbieter, die im 4. Quartal 2022 von CVEs betroffen waren.

29

Die Firmware von IAC-AST2500A in der Version 1.10.0 enthielt die meisten im 4. Quartal 2022 gemeldeten CVEs aller Produkte.

Schwerwiegendste anfällige Produkte, Anbieter und CVEs, 4. Quartal 2022

1.

Lanner

41 %

2.

Microsoft

19 %

3.

BOA

15 %

4.

Oracle

8 %

5.

Apple
Chrome
Citrix
Fortinet
Linux

je 4 %

Gemeldete CVEs nach Produkten, 4. Quartal 2022

29

Die Firmware von IAC-AST2500A Version 1.10.0 enthielt die meisten im 4. Quartal 2022 gemeldeten CVEs aller Produkte, gefolgt von BOA-Server (10 %), IAC-AST2500A (6 %) und Exchange (6 %).

Gemeldete CVEs in Produkten Eindeutige CVEs

IAC-AST2500A, Firmware-Version 1.10.0

9

BOA-Server

3

Exchange

3

IAC-AST2500A

1

tvOS

1

iPadOS

1

iOS

1

Windows

1

Safari

1

SQLite bis einschließlich 3.40.0

1

Oracle Access Manager, 11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0

1

MacOs

1

Linux-Kernel vor 5.15.61

1

Internet Explorer

1

FortiOS (ssivpna)

1

Citrix ADC/Citrix Gateway

1

Chrome, Versionen vor 108.0.5359.94/.95

1

BOA-Server, Boa 0.94.13

1

Gemeldete CVEs, 4. Quartal 2022

CVE-2022-1786

CVE-2022-41040

CVE-2022-26134

CVE-2022-41080

CVE-2022-27510

CVE-2022-41082

CVE-2022-27518

CVE-2022-41128

CVE-2022-31685

CVE-2022-41352

CVE-2022-32917

CVE-2022-42468

CVE-2022-32932

CVE-2022-42475

CVE-2022-33679

CVE-2022-4262

CVE-2022-34718

CVE-2022-42856

CVE-2022-35737

CVE-2022-42889

CVE-2022-3602

CVE-2022-43995

CVE-2022-3786

CVE-2022-46908

CVE-2022-37958

CVE-2022-47939

CVE-2022-40684

 

Trends in der E-Mail-Sicherheit: 4. Quartal 2022

 

Die Statistiken zur E-Mail-Sicherheit basieren auf Telemetriedaten, die aus verschiedenen bei Kunden in aller Welt installierten E-Mail-Sicherheits-Appliances generiert wurden. Die Zusammenfassung und Analyse der Erkennungsprotokolle führt zu folgenden Ergebnissen:

Wichtige Fakten zu Trends in der E-Mail-Sicherheit, 4. Quartal 2022

Die Fußballweltmeisterschaft im 4. Quartal 2022 haben Cyber-Kriminelle zum Anlass genommen haben, um zahlreiche Phishing-Kampagnen zum Thema Fußball gegen Organisationen in arabischen Ländern im Großraum Katar zu starten.

100

Das Volumen schädlicher E-Mails ist in arabischen Ländern im Oktober im Vergleich zu August und September um 100 % gestiegen.

40

Die am meisten genutzte Malware-Familie war Qakbot, die bei 40 % der Kampagnen gegen arabische Länder eingesetzt wurde.

42

Die Telekommunikationsbranche war im 4. Quartal 2022 am stärksten von schädlichen E-Mails betroffen. Auf sie entfielen 42 % der schädlichen E-Mail-Kampagnen gegen Unternehmen.

87

Phishing-E-Mails mit schädlichen URLs wurden im 4. Quartal 2022 mit Abstand am häufigsten als Angriffsvektor verwendet.

64

Vom 3. zum 4. Quartal 2022 nahmen Nachahmungsversuche um 64 % zu.

82

Insgesamt wurden 82 % aller CEO-Betrugs-E-Mails über kostenlose E-Mail-Dienste verschickt.

78

Bei 78 % aller BEC-Angriffe (Business Email Compromise) wurden gängige CEO-Formulierungen verwendet.

142

Vishing-Angriffe spielten im 4. Quartal 2022 eine große Rolle und nahmen gegenüber dem 3. Quartal um 142 % zu.

Am häufigsten in E-Mails genutzte Malware-Taktiken, 4. Quartal 2022

40

Qakbot war im 4. Quartal 2022 die am häufigsten genutzte Malware-Taktik für E-Mails.

1.

Qakbot

40 %

2.

Emotet

26 %

3.

Formbook

26 %

4.

Remcos

4 %

5.

QuadAgent

4 %

Am häufigsten mit Phishing-E-Mails angegriffene Produkte und Marken, 4. Quartal 2022

1.

Generisch

62 %

2.

Outlook

13 %

3.

Microsoft

11 %

4.

Ekinet

8 %

5.

Cloudfare

3 %

Am häufigsten von böswilligen E-Mails betroffene Branchen, 4. Quartal 2022

42

Die Telekommunikationsbranche wurde im 4. Quartal 2022 am häufigsten mit schädlichen E-Mails angegriffen.

Wichtige Fakten zu Trends bei Nachahmungs-E-Mails, 4. Quartal 2022

100

Das Volumen schädlicher E-Mails ist in arabischen Ländern im Oktober im Vergleich zu August und September um 100 % gestiegen.

40

Die am meisten genutzte Malware-Familie war Qakbot, die bei 40 % der Kampagnen gegen arabische Länder eingesetzt wurde.

42

Die Telekommunikationsbranche war im 4. Quartal 2022 am stärksten von schädlichen E-Mails betroffen. Auf sie entfielen 42 % der schädlichen E-Mail-Kampagnen gegen Unternehmen.

Gängige CEO-Formulierungen bei BEC-Angriffen im 4. Quartal 2022

"Sie müssen sofort etwas für mich erledigen."

"Sie müssen etwas für mich erledigen. Schicken Sie mir bitte Ihre Handynummer."

"Schicken Sie mir Ihre Telefonnummer. Sie müssen sofort etwas für mich erledigen."

"Schicken Sie mir bitte Ihre Handynummer und achten Sie auf meine Nachricht. Sie müssen etwas für mich erledigen."

"Bitte überprüfen und bestätigen Sie Ihre Handynummer und achten Sie auf meine Nachricht mit weiteren Anweisungen."

"Haben Sie meine vorherige E-Mail erhalten? Ich habe ein profitables Angebot für Sie."

Vergleich von Nachahmungsversuchen, 4. Quartal 2022

64

Vom 3. zum 4. Quartal 2022 nahmen Nachahmungsversuche um 64 % zu.

Erkenntnisse zu Phishing-Kampagnen, 4. Quartal 2022

Web-Hosting-Anbieter zunehmend für Betrug und Diebstahl genutzt

Bei Phishing-E-Mails am häufigsten genutzte Angriffsvektoren

87

Phishing-E-Mails mit schädlichen URLs wurden im 4. Quartal 2022 mit Abstand am häufigsten als Angriffsvektor verwendet.

1.

URL

87 %

2.

Anhang

7 %

3.

Header

6 %

Im 4. Quartal haben wir beobachtet, dass zunehmend legitime Web-Hosting-Anbieter für Betrugsversuche und zum Diebstahl von Anmeldeinformationen genutzt werden. Drei Dienstanbieter wurden dabei am häufigsten missbraucht: dweb.link, ipfs.link und translate.google. Zudem fiel uns ein hohes Volumen bei anderen Dienstanbieter-Domänen auf, einschließlich ekinet, storageapi_fleek und selcdn.ru. Die Angreifer nutzen immer wieder neue und beliebte Hosting-Dienste, um darauf Phishing-Seiten zu hosten und um Phishing-Schutzmaßnahmen zu umgehen. Angreifer greifen unter anderem deshalb vermehrt auf legitime Web-Hosting-Anbieter zurück, weil auf diesen Diensten hauptsächlich normale Dateien und Inhalte gehostet werden, sodass sie von Erkennungssystemen nicht blockiert werden können.

Stark missbrauchte Web-Hosting-Anbieter, 4. Quartal 2022

154

Während Dweb der am häufigsten missbrauchte Web-Hosting-Anbieter im 4. Quartal 2022 war, zeigte Google Übersetzer die größte Zunahme (154 %) gegenüber dem 3. Quartal 2022.

1.

Dweb

81 %

2.

Ipfs

17 %

3.

Google Übersetzer

10 %

Bei Phishing-Angriffen am häufigsten genutzte Umgehungstechniken, 4. Quartal 2022

63

  • Umgehungen mit 302-Weiterleitungen wurden im 4. Quartal 2022 am häufigsten eingesetzt.
  • Phishing-Angriffe mit standortbasierter Umgehung nahmen im 4. Quartal deutlich zu.
  • Captcha-basierte Angriffe nahmen im 4. Quartal ebenfalls zu.

Erkenntnisse zu Vishing, 4. Quartal 2022

Vishing ist eine weitere Form des Phishing, bei dem die Opfer dazu gebracht werden sollen, mit den Angreifern zu kommunizieren – in diesem Fall hauptsächlich über E-Mail, Textnachrichten, Telefon oder direkte Chat-Nachrichten.

142

Vishing-Angriffe spielten im 4. Quartal 2022 eine große Rolle und nahmen gegenüber dem 3. Quartal um 142 % zu.

85

Kostenlose E-Mail-Dienste sind bei Kriminellen, die Vishing betreiben, sehr beliebt geworden. Ein Großteil (85 %) der von uns im 4. Quartal 2022 erkannten Vishing-Angriffe wurden über einen kostenlosen E-Mail-Dienst verschickt.
Norton, McAfee, Geek Squad, Amazon und PayPal wurden im 4. Quartal am häufigsten für Vishing-Kampagnen missbraucht.

Netzwerksicherheit: 4. Quartal 2022

 

Das Trellix ARC-Team konzentriert sich auf die Erkennung und Blockierung netzwerkbasierter Angriffe, die unsere Kunden bedrohen. Wir sehen uns verschiedene Bereiche der Angriffskette an: Erkundung, Erstkompromittierung, C&C-Kommunikation sowie TTPs für laterale Bewegungen. Wir sind in der Lage, die Stärken der kombinierten Technologien so zu nutzen, dass wir unbekannte Bedrohungen besser erkennen können.

Bei Angriffen auf Netzwerksicherheit am häufigsten genutzte MITRE-ATT&CK-Techniken, 4. Quartal 2022

  • T1083 – Erkennung von Dateien und Verzeichnissen
  • T1573 – Verschlüsselter Kanal
  • T1020 – Automatisierte Exfiltration
  • T1210 – Ausnutzung von Remote-Diensten
  • T1569 – Systemdienste
  • T1059 – Befehls- und Skript-Interpreter: Windows Command Shell
  • T1047 – Windows-Verwaltungsinstrumentation
  • T1087 – Kontoerkennung
  • T1059 – Befehls- und Skript-Interpreter
  • T1190 – Ausnutzung von öffentlicher Anwendung

Schwerwiegendste Angriffe auf öffentlich zugängliche Dienste, 4. Quartal 2022

Täglich werden viele Netzwerk-Scans ausgeführt, um öffentlich zugängliche Rechner auf potenzielle Einfallstore in Kundenumgebungen zu prüfen. Alte Exploits suchen kontinuierlich nach ungepatchten Systemen.

  • Zugriffsversuch auf Datei /etc/passwd erkannt
  • Möglicher XSS-Angriff (webseitenübergreifende Skripterstellung)
  • Sicherheitsscanner SIPVicious
  • Datenverkehr von Nmap-Scanner erkannt
  • Scan-Aktivitäten – Shellshock, Web-Server-Tests
  • Remote-Ausführung von Bash-Code (Shellshock) HTTP CGI (CVE-2014-6278)
  • Schwachstelle in Oracle WebLogic, die Remote-Ausführung von Code ermöglicht (CVE-2020-14882)
  • Directory Traversal-Versuch (Verzeichnisdurchquerung)
  • Apache Struts 2 ConversionErrorInterceptor OGNL-Skript-Injektion
  • Remote-Ausführung von Code: Apache Log4j (CVE-2021-44228)

Häufig genutzte WebShells für Erstzugriff auf Netzwerke, 4. Quartal 2022

Häufig genutzte WebShells für Erstzugriff auf Netzwerke, 4. Quartal 2022

  • Webshell China Chopper
  • Webshell JFolder
  • Webshell ASPXSpy
  • Webshell C99
  • Webshell Tux
  • Webshell B374K/RootShell-Familie

Relevanteste Tools, Techniken und Prozeduren für Aktivitäten innerhalb des Netzwerks, 4. Quartal 2022

Folgende WebShells werden häufig genutzt, um die Kontrolle über anfällige Web-Server zu erlangen.

Wir haben beobachtet, dass die Angreifer sehr viele TTPs während lateraler Bewegungen verwenden, zum Beispiel die Ausnutzung alter Schwachstellen und Tools wie SCShell und PSExec.

  • SCshell: Dateilose laterale Bewegungen mithilfe des Dienst-Managers
  • Aufruf eines Windows WMI-Remoteprozesses
  • Aufruf der CMD-Shell über WMIEXEC per SMB
  • EternalBlue-Exploit erkannt
  • Versuch der CVE-2020-0796-Ausnutzung in Microsoft SMBv3
  • Remote-Ausführung von Code: Apache Log4j (CVE-2021-44228)
  • Auflistung von Remote-Domänen/Unternehmens-Administratorkonten
  • Verdächtige Remote-Ausführung von PowerShell
  • Verdächtige Netzwerkerkundung durch WMIC
  • Auflistungsbefehl in Batch-Datei erkannt
  • SMB PSEXEC-Aktivitäten

Von Trellix XDR erfasste Telemetriedaten über Sicherheitsabläufe

 

Diese Statistiken basieren auf Telemetriedaten, die aus verschiedenen Helix-Instanzen unserer Kunden generiert wurden. Die Zusammenfassung und Analyse der Erkennungsprotokolle führt zu folgenden Kategorien:

Schwerwiegendste Sicherheitszwischenfälle, 4. Quartal 2022

Dies ist eine Liste der häufigsten Sicherheitswarnungen für das 4. Quartal 2022:

Bei gemeldeten Kampagnen staatlicher Akteure beobachtete ausgenutzte Schwachstellen, 4. Quartal 2022

EXPLOIT - LOG4J [CVE-2021-44228]

OFFICE 365 ANALYTICS [ungewöhnliche Anmeldung]

OFFICE 365 [hat Phishing erlaubt]

EXPLOIT - FORTINET [CVE-2022-40684]

EXPLOIT - APACHE SERVER [versuchte Ausnutzung von CVE-2021-41773]

WINDOWS ANALYTICS [Brute-Force-Erfolg]

EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]

EXPLOIT - F5 BIG-IP [versuchte Ausnutzung von CVE-2022-1388]

Am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

Ausnutzung von öffentlicher Anwendung (T1190)

29 %

2.

Protokoll für Anwendungsebene: DNS (T1071.004)
Phishing (T1566)

14 %
14 %

3.

Kontenmanipulation (T1098.001)
Brute-Force (T1110)
Drive-by-Kompromittierung (T1189)
Ausführung durch Benutzer: Schädliche Datei (T1204.002)
Gültige Konten: Lokale Konten (T1078.003)

je 7 %

Verteilung wichtiger Protokollquellen, 4. Quartal 2022

1.

Netzwerk

40 %

2.

E-Mail

27 %

3.

Endgeräte

27 %

4.

Firewall

6 %

Beobachtete Exploits, 4. Quartal 2022

Bei gemeldeten Aktivitäten staatlicher Akteure am häufigsten auftretende Bedrohungsakteure, 4. Quartal 2022

30

Log4j war den Beobachtungen zufolge das im 4. Quartal 2022 am häufigsten genutzte Exploit.

1.

Log4j (CVE-2021-44228)

14 %

2.

Fortinet (CVE-2022-40684)

13 %

3.

Apache Server (CVE-2021-41773)

13 %

4.

Atlassian Confluence (CVE-2022-26134)

13 %

5.

F5 Big-IP (versuchte Ausnutzung von CVE-2022-1388)

13 %

6.

Microsoft Exchange (ProxyShell-Exploit-Versuch)

13 %

Cloud-Zwischenfälle, 4. Quartal 2022

Angriffe auf Cloud-Infrastrukturen nehmen kontinuierlich zu, da viele Unternehmen ihre Systeme umstellen. Die Analysten von Gartner gehen davon aus, dass bis zum Jahr 2025 ganze 85 % der Unternehmen auf die Cloud umsteigen werden.

Bei der Analyse der Telemetriedaten des 4. Quartals 2022 haben wir Folgendes beobachtet:

  • Erkennungen im Zusammenhang mit AWS treten am häufigsten auf, wahrscheinlich da AWS als führender Anbieter im Cloud-Markt gilt.
  • Die meisten Angriffe zielten darauf ab, durch Brute-Force- bzw. Password-Spraying-Methoden Erstzugriff auf gültige Konten zu erlangen, was auf den ersten Angriffsvektor in der Cloud-Angriffsfläche hinweist.
  • Da die meisten Unternehmenskonten mit MFA (Mehrfaktor-Authentifizierung) gesichert sind, führen erfolgreiche Brute-Force-Versuche die Angreifer auf MFA-Plattformen, wodurch es zu einem Anstieg an MFA-bezogenen Erkennungen kommt.

Die nachfolgenden Abschnitte bieten eine kurze Beschreibung der Cloud-basierten Telemetriedaten unseres Kundenstamms, aufgeschlüsselt nach den verschiedenen Cloud-Anbietern.

Bei AWS am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

Gültige Konten (T1078)

18 %

2.

Änderung der Datenverarbeitungsinfrastruktur des Cloud-Kontos (T1578)

12 %

3.

Kontenmanipulation (T1098)

9 %

4.

Cloud-Konten (T1078.004)

8 %

5.

Brute Force (T1110)
Beeinträchtigung von Schutzmaßnahmen (T1562)

6 %
6 %

Häufigste AWS-Erkennungen nach MITRE ATT&CK-Techniken, 4. Quartal 2022

MITRE ATT&CK-Technik Regel

Kontenmanipulation (T1098)

AWS – Privilegierte Richtlinie, die an IAM-Identität gebunden ist
AWS S3 – Bucket-Richtlinie löschen

Gültige Konten (T1078)

AWS Analytics – ungewöhnliche Konsolenanmeldung
AWS Analytics – ungewöhnliche Verwendung von API-Schlüssel
AWS GuardDuty – ungewöhnliches Benutzerverhalten
AWS GuardDuty – anonymer Zugriff gewährt

Beeinträchtigung von Schutzmaßnahmen (T1562)

AWS CloudTrail – Richtlinienänderungen in CloudTrail
AWS CloudTrail – Trail löschen

Anmeldeinformationen in Dateien (T1552.001)

Warnung – möglicher Diebstahl von geheimen AWS-Schlüsseln

Übertragung von Daten auf Cloud-Konto (T1527)

AWS CloudTrail – S3-Bucket löschen
AWS CloudTrail – S3-Bucket-ACL ablegen
AWS CloudTrail – Objekt-ACL ablegen

Bei Azure am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

Gültige Konten (T1078)

23 %

2.

Mehrfaktor-Authentifizierung (T1111)

19 %

3.

Brute-Force (T1110)

14 %

4.

Proxy (T1090)

14 %

5.

Kontenmanipulation (T1098)

5 %

Häufigste Azure-Erkennungen nach MITRE ATT&CK-Techniken, 4. Quartal 2022

MITRE ATT&CK-Technik Regel

Gültige Konten (T1078)

Azure AD – Riskante Anmeldung
Azure – Anmeldung von ungewöhnlichem Ort
Azure – Anmeldung von Konto, das 60 Tage inaktiv war

Brute-Force (T1110)

Azure – Mehrere Authentifizierungsfehler
Graph – Brute-Force-Angriff auf Azure-Portal
Graph – verteilte Versuche, Kennwörter zu knacken

Mehrfaktor-Authentifizierung (T1111)

Azure – MFA wegen Betrugswarnung abgelehnt
Azure – MFA wegen blockiertem Benutzer abgelehnt
Azure – MFA wegen betrügerischem Code abgelehnt
Azure – MFA wegen betrügerischer Anwendung abgelehnt

Externe Remote-Dienste (T1133)

Azure – Anmeldung von Tor-Netzwerk

Kontenmanipulation (T1098)

Azure – ungewöhnliche Rücksetzung des Benutzerkennworts

Bei GCP am häufigsten genutzte MITRE ATT&CK-Techniken, 4. Quartal 2022

1.

Gültige Konten (T1078)

36 %

2.

Ausführung über API (T0871)

18 %

3.

Kontoerkennung (T1087.001)
Kontenmanipulation (T1098)
Beeinträchtigung von Schutzmaßnahmen (T1562)
Änderung der Datenverarbeitungsinfrastruktur des Cloud-Kontos (T1578)
Remote-Dienste (T1021.004)

je 9 %

Häufige GCP-Erkennungen nach MITRE ATT&CK-Techniken, 4. Quartal 2022

MITRE ATT&CK-Technik Regel

Gültige Konten (T1078)

GCP – Erstellung eines Dienstkonto-Schlüssels
GCP Analytics – ungewöhnliche Aktivitäten
GCP – Erstellung eines Dienstkonto-Schlüssels

Remote-Dienste (T1021.004)

GCP – Firewall-Regel erlaubt gesamten Datenverkehr über SSH-Port

Kontenmanipulation (T1098)

GCP – IAM-Richtlinie des Unternehmens geändert

Kontoerkennung (T1087.001)

Warnung ["gcps net user"]

Übertragung von Daten auf Cloud-Konto (T1527)

GCP – Logsenke verändert

Änderung der Datenverarbeitungsinfrastruktur des Cloud-Kontos (T1578)

GCP – Löschschutz deaktiviert

Autoren und Forscher

Alfred Alvarado

Henry Bernabe

Adithya Chandra

Dr. Phuc Duy Pham

Sarah Erman

John Fokker

Lennard Galang

Sparsh Jain

Daksh Kapoor

Maulik Maheta

João Marques

Tim Polzer

Srini Seethapathy

Rohan Shah

Vihar Shah

Swapnil Shashikantpa

Shyava Tripathi

Leandro Velasco

Alfred Alvarado

Henry Bernabe

Adithya Chandra

Dr. Phuc Duy Pham

Sarah Erman

John Fokker

Lennard Galang

Sparsh Jain

Daksh Kapoor

Maulik Maheta

João Marques

Tim Polzer

Srini Seethapathy

Rohan Shah

Vihar Shah

Swapnil Shashikantpa

Shyava Tripathi

Leandro Velasco

Ressourcen

Nutzen Sie die folgenden Ressourcen, um sich stets über die vom Trellix Advanced Research Center erkannten neuesten und gefährlichsten Bedrohungen zu informieren:

TrellixARC Twitter-Profilbild
TrellixARC
Twitter

Über das Trellix Advanced Research Center

Das Trellix Advanced Research Center hat die umfassendste Richtlinie der Cyber-Sicherheitsbranche und ist Vorreiter bei neuen Methoden, Trends und Akteuren der gesamten Bedrohungslandschaft. Als führender Partner von Sicherheitsteams in aller Welt liefert das Trellix Advanced Research Center Informationen und neueste Inhalte für Sicherheitsanalysten und stärkt gleichzeitig unsere führende XDR-Plattform. Außerdem bietet die Threat Intelligence-Gruppe des Trellix Advanced Research Center unseren weltweiten Kunden verschiedene Bedrohungsdaten-Produkte und -Services an.

Trellix Advanced Research Center

Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cyber-Sicherheit und verantwortungsvolle Arbeit neu definiert. Seine offene und native eXtended Detection and Response-Plattform (XDR) hilft Unternehmen, die mit den raffiniertesten Bedrohungen von heute konfrontiert werden, das Vertrauen in den Schutz und die Resilienz ihrer Abläufe zu stärken. Zusammen mit einem umfassenden Partnerökosystem förderte Trellix die technologische Innovationsfähigkeit durch Machine Learning und Automatisierung, um über 40.000 Geschäfts- und Behördenkunden durch Living Security zu stärken.

Abonnieren Sie unsere Informationen zu Bedrohungen.

Die in diesem Dokument enthaltenen Informationen beschreiben die Forschungsergebnisse zum Thema Computersicherheit. Sie werden Trellix-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Trellix führt die Untersuchungen entsprechend der Trellix-Richtlinie für die verantwortungsvolle Offenlegung von Schwachstellen durch. Jeglicher Versuch, die hierin beschriebenen Aktivitäten teilweise oder vollständig nachzuvollziehen, erfolgt ausschließlich auf Risiko des Benutzers, und weder Trellix noch die Tochterunternehmen können dafür verantwortlich oder haftbar gemacht werden.

Trellix ist eine eingetragene Marke von Musarubra US LLC oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.