Dieser vom Trellix Advanced Research Center verfasste Bericht (1) stellt Einblicke, Bedrohungsdaten und Empfehlungen vor, die aus verschiedenen Datenquellen für Cyber-Sicherheitsbedrohungen gewonnen wurden, und (2) entwickelt daraus nützliche Experten-Interpretationen sowie empfohlene Vorgehensweisen für die Cyber-Abwehr. Diese Ausgabe konzentriert sich auf Daten und Erkenntnisse, die wir zwischen dem 1. Januar 2023 und dem 31. März 2023 erfasst haben.
Ich führe zahlreiche Gespräche mit Vorstandsmitgliedern, CEOs, CISOs, CIOs, CTOs und anderen Führungskräften, die für die Cyber-Abwehr von Staaten, Behörden und Unternehmen aus dem privaten Sektor und verschiedenen Branchen verantwortlich sind.
Wir sprechen dabei über verschiedenste Themen – von weltweiter Forschung, Innovationen und Bedrohungsdaten bis zu den neuesten Cyber-Abwehrmaßnahmen von SecOps-Teams. Und wir sprechen über ihre konkreten Herausforderungen. Trellix hat diese vor Kurzem im "The Mind of the CISO"-Bericht dokumentiert, wobei folgende Herausforderungen am häufigsten genannt wurden: zu viele unterschiedliche Informationsquellen (35 %), veränderte gesetzliche Anforderungen und Vorschriften (35 %), wachsende Angriffsflächen (34 %), Fachkräftemangel (34 %) sowie fehlende Beteiligung und Einbeziehung durch andere Unternehmensabteilungen (31 %).
Fast jede dieser Interaktionen hat direkt oder indirekt mit der Beschaffenheit der Bedrohungslandschaft zu tun. Welche Arten von Angriffen finden statt? Welche Ransomware-Gruppen waren am erfolgreichsten? Welche Schwachstellen wurden angegriffen? Welche staatlichen Akteure sind am aktivsten? Welche Bedrohungstrends registrieren wir in der E-Mail- und Netzwerksicherheit?
Wir bei Trellix haben viel zu berichten, weil wir jeden Tag an vorderster Front für Sie kämpfen. We’re tapping into a massive reservoir of security intelligence, insights, and data gleaned from more than one billion sensors worldwide. Das Wissen dieser Vorstandsmitglieder, CEOs, CISOs, CIOs, CTOs oder SecOps-Experten, das wir in diesem Bericht vorstellen und das in die umfangreichen Empfehlungen, Informationen und Ausblicke von Trellix einfließt, kann für den Erfolg Ihrer Arbeit entscheidend sein.
Mein Kollege John Fokker, der beim Advanced Research Center-Team von Trellix für Bedrohungsdaten verantwortlich ist, hat hier einen hervorragenden Bericht zusammengestellt. Mit diesen Einblicken können Sie den Fokus Ihres Teams ausrichten, Ihre Prozesse straffen und die richtigen XDR-Technologien implementieren. Ein Hinweis in eigener Sache: Wir freuen uns über Tipps dazu, auf welche Bereiche wir uns in zukünftigen Ausgaben konzentrieren sollen, damit Ihr Unternehmen sicher geschützt und erfolgreich ist.
Ich arbeite mit Helden zusammen. Dabei meine ich nicht mein Team, obwohl es aus Experten besteht, denen während ihrer Karriere im öffentlichen und privaten Sektor Superkräfte nachgesagt werden.
Damit meine ich Sie. I’m talking about the people and teams worldwide who rely on Trellix’s advanced research capabilities – our systems, insights, and intelligence – to protect your organizations from cyberattacks. Das betrifft CISOs, CTOs und CIOs ebenso wie unsere Kollegen bei Agenturen wie Europol, beim FBI und der NSA, der CISA (Cybersecurity and Infrastructure Security Agency), beim ACSC (Australia’s Cyber Security Centre) und beim NCSC-UK (United Kingdom’s National Cyber Security Centre). Ebenso – und sogar ganz besonders – meine ich jedes einzelne Mitglied Ihres SecOps-Teams.
Was denken Sie, welche Faktoren besonders zum Erfolg Ihres SecOps-Teams beitragen? Laut dem Trellix-Bericht, den mein Kollege Joseph Tal bereits erwähnt hat, sind sich die Cyber-Sicherheitsverantwortlichen auf der ganzen Welt einig und nennen vor allem verbesserte Transparenz (44 %), stärkere Priorisierung auf Wesentliches (42 %), breiter aufgestellte Zusammenarbeit zur Abwehr von Multi-Vektor-Angriffen (40 %) sowie verbesserte Genauigkeit (37 %).[Quelle]
Für jeden dieser Faktoren werden vor allem zuverlässige Erkenntnisse, Informationen und Daten benötigt. Die Inhalte in diesem Bericht sind ein Beispiel dafür.
Wie Sie aus Ihrem beruflichen Alltag nur allzu gut wissen, entwickelt sich Cyber-Sicherheit mit unglaublicher Geschwindigkeit. Dazu gehören bahnbrechende Technologien und ein starker Wechsel zu XDR, neue Tendenzen in der Gesetzgebung – von Gesetzen zu Haftungsansprüchen – sowie Veränderungen in der Bedrohungslandschaft. Bei den Ansätzen, mit denen SecOps-Teams der nächsten Generation von Cyber-Angriffen "einen Schritt voraus" bleiben können, vollzieht sich eine Revolution. Wenn Sie gewinnen wollen, benötigen Sie zunächst Einblicke und ein umfassendes Verständnis der aktuellen Situation.
Wir ziehen alle an einem Strang. Trellix unterstützt Sie bei der Bewältigung der Herausforderungen. Dieser Bericht richtet sich an Sie.
Für das Interpretieren der Daten in diesem Bericht ist es notwendig, das große Ganze im globalen Maßstab zu verstehen, da Cyber-Bedrohungen für Unternehmen nicht in einem technischen Vakuum entstehen. Zu den wichtigsten Faktoren bei Cyber-Risiken gehören Kriege und Naturkatastrophen, erhebliche wirtschaftliche Umwälzungen sowie neue Schwachstellen aufgrund von Veränderungen bei Geschäftsmodellen, wichtigen Partnern, zentralen Prozessen, neuen Technologien und gesetzlichen Vorschriften. Die folgenden Faktoren sind in unsere Bedrohungsdaten für das 1. Quartal 2023 eingeflossen:
Welche Herausforderung ist eine der größten für Cyber-Sicherheitsverantwortliche und SecOps-Teams?
Die Erfassung der eingehenden Bedrohungsdaten – mit einem enormen Tempo und Umfang – und die sofortige Weiterleitung verwertbarer Erkenntnisse an die Teams, die im Unternehmen für die Bedrohungssuche und die Gewährleistung der Sicherheit verantwortlich sind.
Trellix hat sich das Ziel gesetzt, diesen Prozess zu vereinfachen.
Dazu stellen wir Automatisierung bereit, damit Ihre Teams die Antworten erhalten, die Sie zur Priorisierung benötigen. Außerdem bieten unsere Produkte für XDR, Host-, Netzwerk- und E-Mail-Schutz herausragende integrierte Funktionen zur Bedrohungsdatenanalyse, Bedrohungssuche und Sicherheitskontrolle.
Die Bedrohungen des 1. Quartals dieses Jahres wurden auch durch unternehmensinterne Faktoren bestimmt, die in vielen Fällen mit den kontinuierlichen Problemen der Cyber-Sicherheitsverantwortlichen und Frontline-Teams zusammenhängen.
Die erstklassigen Trellix-Experten unseres Advanced Research Center-Teams erfassen die Statistiken, Trends und Einblicke, die in diesen Bericht einfließen, aus verschiedensten weltweiten – offenen sowie geschlossenen – Quellen. Die aggregierten Daten werden in unseren Plattformen Trellix Insights und Trellix ATLAS verarbeitet. Dabei setzt das Team auf intensive, integrierte und iterative Prozesse, die Machine Learning, Automatisierung und menschliche Intuition nutzen, um Daten zu normalisieren, Informationen zu analysieren und Einblicke zu gewinnen, die für Cyber-Sicherheitsverantwortliche und SecOps-Teams auf der ganzen Welt nützlich sind. Eine detaillierte Beschreibung unserer Methodik finden Sie am Ende dieses Berichts.
Jedes professionelle Analyseteam muss die Effekte von Verzerrungen verstehen, erkennen und – sofern möglich – beseitigen. Als Verzerrung (engl. bias) wird die natürliche, tief sitzende oder unsichtbare Neigung bezeichnet, Fakten und ihre Bedeutung zu akzeptieren, abzulehnen oder zu manipulieren. Diese Grundeigenschaft betrifft alle Konsumenten von Inhalten.
Im Gegensatz zu stark strukturierten und kontrollierten mathematischen Tests oder Experimenten basiert dieser Bericht auf einer willkürlichen Stichprobe. Diese Ermessensgrundlage findet sich häufig in medizinischen, gesundheitsbezogenen, psychologischen und soziologischen Tests, die verfügbare und nutzbare Daten nutzen.
Für diesen Untersuchungsansatz stehen folgende Aspekte im Mittelpunkt:
Welche Bedeutung haben die in diesem Bericht enthaltenen Informationen für Cyber-Sicherheitshelden an vorderster Front? Die Erkenntnisse und Cyber-Sicherheitsdaten sind nur dann nützlich, wenn sie auch in Maßnahmen umgewandelt werden, sodass Risiken reduziert, Entscheidungen optimiert und SecOps-Aktivitäten effizienter und kostengünstiger werden.
Die in diesem Abschnitt vorgestellten Sicherheitszwischenfälle sind aus öffentlichen Berichten bekannt. Im 1. Quartal des Jahres 2023 setzten Angreifer auf der Suche nach leicht erreichbaren Einfallstoren auf Windows-Binärdateien, Drittanbieter-Tools, selbst entwickelte Malware und Penetrationstest-Tools für Angriffe. PowerShell und die Windows-Befehlszeile werden auch weiterhin gern zum Ausführen von Aufgaben genutzt, die Persistenz, Verankerung und Exfiltration ermöglichen.
Top 5 der in öffentlichen Berichten im 1. Quartal 2023 genannten Windows-Binärdateien
1.
PowerShell
2.
Windows CMD
3.
Geplanter Task
4.
RunDLL32
5.
WMIC
Geplante Tasks, schädliche DLL-Dateien sowie über die Windows-Verwaltungsinstrumentation ausgeführte Befehle runden die Top 5-Liste ab. Bedrohungsakteure nutzen für ihre Zwecke gern ungeschützte und unüberwachte Binärdateien, die bereits im System vorhanden sind und die Skripte ausführen oder Tastatureingaben akzeptieren.
In vielen Fällen sind Drittanbieter-Tools, Freeware und Penetrationstest-Tools fester Bestandteil eines Angriffszyklus und dienen Bedrohungsakteuren dazu, Persistenz zu erlangen, Skripte auszuführen, gesuchte Informationen zu entdecken und zu sammeln sowie Berechtigungen zu eskalieren, um Installationen mit erhöhten Berechtigungen auszuführen und auf Bereiche, Ressourcen oder Daten zuzugreifen, die nur berechtigten Konten zur Verfügung stehen.
In öffentlichen Berichten im 1. Quartal 2023 genannte Drittanbieter-Tools
Tool-Kategorien
In öffentlichen Berichten im 1. Quartal 2023 genannte Drittanbieter-Tools
Konkrete Tools
cURL
Cobalt Strike
wget
UPX
BITS-Auftrag
Mimikatz
7-Zip
VMProtect
Themida
cURL
Cobalt Strike
wget
UPX
BITS-Auftrag
Mimikatz
7-Zip
VMProtect
Themida
Gefährlichere Drittanbieter-Tools wie Cobalt Strike, Mimikatz und Sharphound können für legitime Zwecke eingesetzt werden. Zum Beispiel können Penetrationstester diese Tools beim Infiltrationsversuch in ein Netzwerk nutzen, um an Kennwörter zu gelangen, Beacons zu setzen oder Berechtigungen auszuweiten. Doch auch Bedrohungsakteure setzen die Tools auf dieselbe Weise ein. Sie sparen sich Entwicklungszeit, indem sie Tools nutzen, die vor kurzem auf einem Rechner verwendet oder versehentlich darauf zurückgelassen wurden oder sich auf dem System eines neugierigen Endbenutzers befinden.
In öffentlichen Berichten im 1. Quartal 2023 genannte aktive Bedrohungsakteure
1.
Magecart Group
5 %
2.
APT29
4 %
3.
APT41
4 %
4.
Blind Eagle
4 %
5.
Gamaredon Group
4 %
6.
Lazarus
4 %
7.
Mustang Panda
4 %
8.
Sandworm Team
4 %
In öffentlichen Berichten im 1. Quartal 2023 genannte angegriffene Sektoren
1.
Fertigungsunternehmen
8 %
2.
Finanzsektor
7 %
3.
Gesundheitswesen
6 %
4.
Telekommunikation
5 %
5.
Energieversorgung
5 %
Im 1. Quartal 2023 waren die Magecart-Gruppe, APT29 und APT41 die drei aktivsten Bedrohungsgruppen und APTs, die Benutzer nach ihrem geografischen Standort und der Branche auswählten und versuchten, an Geld zu gelangen, Staatsgeheimnisse aufzudecken oder die Infrastruktur zu beschädigen. Eine Überraschung war für uns, dass die Magecart-Gruppe bereits auf dem ersten Listenplatz stand, obwohl sie nur selten im gleichen Umfang agiert wie die anderen staatlichen APTs. Wir werden die Aktivitäten der Gruppe auch in den kommenden Monate im Auge behalten und herausfinden, ob die aktuellen Daten einen weltweiten Neuauftritt der Gruppe einleiten.
Frühere weltweite Kampagnen setzten auf weniger komplexe breitgefächerte Techniken, um alle Benutzer zu erreichen, die auf gefährliche Links klicken oder Schadinhalte herunterladen könnten. Gezielte Angriffe werden immer raffinierter und erreichen zunehmend bessere Persistenz in der Fertigungsbranche, im Finanzsektor sowie im Gesundheitswesen. Die beiden übrigen Sektoren – Telekommunikation und Energieversorgung – waren zwar seltener von weltweiten Kampagnen betroffen, sind aber beide gleichermaßen wichtig. Außerdem besteht die Möglichkeit, dass die darin vertretenen Unternehmen möglicherweise nur keine Kompromittierungen gemeldet oder sie überhaupt nicht gemerkt haben.
Gemeldete Zwischenfälle, die von unserem Forscherteam analysiert und bestätigt wurden, umfassen eine Vielzahl von Informationen, Korrelationen oder Attributionen zu einem konkreten Bedrohungsakteur, einer Bedrohungsgruppe oder einem raffinierteren APT-Akteur. Die Tools, Techniken und Prozeduren sowie die verwendeten Malware-Familien umfassen Loader- und Downloader-Malware, Remote-Zugriff-Trojaner (RATs), Programme zum Diebstahl von Informationen sowie Ransomware. Anhand der Ereignisse aus dem 1. Quartal 2023, die wir per Insights analysiert und bereitgestellt haben, konnten wir die Ukraine als häufigstes Angriffsziel identifizieren, wobei die USA dicht auf dem zweiten Platz folgten.
Die Ransomware-Familien The Royal Ransom, Trigona und Maui waren im 1. Quartal 2023 am häufigsten vertreten. Trellix hat vor Kurzem eine detaillierte Analyse von Royal Ransom und der Funktionsweise der ausführbaren Dateien unter Windows und Linux veröffentlicht. Obwohl die Daten zu den hier präsentierten Statistiken explizit von unserer Insights-Plattform stammen, sind viele weitere Ereignisse in der weltweit vernetzten Infrastruktur aufgetreten. Dazu gehören auch bekannte Ereignisse, die veröffentlicht oder unter Verschluss gehalten wurden, sowie Zwischenfälle, die noch nicht identifiziert bzw. behoben wurden.
In öffentlichen Berichten im 1. Quartal 2023 genannte angegriffene Länder
7
Aus den öffentlich gewordenen Ereignissen, die wir analysieren konnten, ergab sich die Ukraine als am häufigsten von Bedrohungsakteuren angegriffenes Land, dicht gefolgt von den USA.
1.
Ukraine
7 %
2.
USA
7 %
3.
Deutschland
4 %
4.
Südkorea
3 %
5.
Indien
3 %
In öffentlichen Berichten im 1. Quartal 2023 genannte Ransomware-Familien
1.
Royal Ransom
7 %
2.
Trigona
4 %
3.
Maui
4 %
4.
Magniber
3 %
5.
LockBit
3 %
Die unten gezeigten Statistiken beziehen sich auf die Kampagnen, nicht auf die Erkennungen selbst. Unsere globalen Telemetriedaten haben Kompromittierungsindikatoren (IOCs) aufgezeigt, die zu verschiedenen Kampagnen von verschiedenen Ransomware-Gruppen gehören.
Relativ häufig verzeichnen wir zu Beginn eines Jahres, insbesondere im Januar, einen Rückgang bei Cybercrime-Aktivitäten. Dieser Trend könnte den Rückgang der Aktivitäten von Hive und Cuba erklären. Außerdem dürfte die Stilllegung des Hive-Netzwerks durch das FBI und Europol Ende Januar die Aktivitäten dieser Gruppe erheblich beeinträchtigt haben. Die LockBit-Familie ist weiterhin eine erhebliche Größe im Ransomware-Sektor und hat sich sehr erfolgreich darauf spezialisiert, die Opfer aggressiv zur Zahlung von Lösegeldern zu zwingen.
Im 1. Quartal 2023 bei Zwischenfällen verwendete Ransomware-Familien
8
Cuba war die aktivste Ransomware-Gruppe, dicht gefolgt von Play und LockBit.
Im 1. Quartal 2023 verwendete Ransomware-Tools
28
Cobalt Strike wird weiterhin besonders häufig von Ransomware-Gruppen eingesetzt. Trotz Bemühungen des Herstellers Fortra Ende 2022, Bedrohungsakteuren den Missbrauch des Tools zu erschweren, wuchs der Anteil bei Ransomware-Angriffen sogar noch.
Am stärksten von Ransomware-Gruppen betroffene Länder, 1. Quartal 2023
15
Die USA sind in diesem Quartal auch weiterhin das am stärksten von Ransomware-Aktivitäten betroffene Land, dicht gefolgt von der Türkei.
1.
USA
15 %
2.
Türkei
14 %
3.
Portugal
10 %
4.
Indien
6 %
5.
Kanada
6 %
Am stärksten von Ransomware-Gruppen betroffene Branchen, 1. Quartal 2023
1.
Versicherungswesen
20 %
2.
Finanzdienstleistungen
17 %
3.
Pharmaindustrie
7 %
4.
Telekommunikation
4 %
5.
Outsourcing und Hosting
4 %
Ransomware-Gruppen erpressen ihre Opfer, indem sie deren Informationen auf so genannten "Leak-Websites" veröffentlichen, um festgefahrene Verhandlungen in Schwung zu bringen oder auf Zahlungsverweigerung zu reagieren. Unsere Trellix-Experten nutzen das Open-Source-Tool RansomLook, um Daten aus den Beiträgen zu erfassen und die Ergebnisse anschließend zu normalisieren und zu ergänzen, sodass eine anonymisierte Opferanalyse möglich wird.
Dabei muss beachtet werden, dass nicht alle Ransomware-Opfer auf den jeweiligen Leak-Websites erscheinen. Viele Opfer zahlen das Lösegeld und werden nicht erwähnt. Die Zahlen unten sind ein Gradmesser für die Opfer, die von Ransomware-Gruppen erpresst oder bestraft wurden, und sollten nicht mit der Gesamtzahl der Opfer gleichgesetzt werden.
Ransomware-Gruppen mit den meisten in Leak-Websites gemeldeten Opfern, 1. Quartal 2023
1.
LockBit 3.0
30 %
2.
Hive
22 %
3.
Clop
12 %
4.
Royal Ransom
7 %
5.
ALPHV
5 %
Laut Leak-Websites von Ransomware-Gruppen betroffene Branchen, 1. Quartal 2023
1.
Industriegüter und -dienstleistungen
25 %
2.
Einzelhandel
14 %
3.
Technologie
11 %
4.
Gesundheitswesen
8 %
5.
Finanzdienstleistungen
6 %
Laut Leak-Websites von Ransomware-Gruppen betroffene Länder, 1. Quartal 2023
48
der betroffenen Unternehmen, die auf Leak-Websites von Ransomware-Gruppen gelistet wurden, haben ihren Sitz in den USA.
Größe der Unternehmen, die laut Leak-Websites im 1. Quartal 2023 von Ransomware-Gruppen betroffen waren
Mitarbeiterzahl
1.
51-200
32 %
2.
1.000-5.000
22 %
3.
11-50
15 %
4.
201-500
15 %
5.
501-1.000
15 %
Jahresumsatz
1.
10 Mio.-550 Mio. USD
25 %
2.
1 Mrd.-10 Mrd. USD
14 %
3.
1 Mio.-10 Mio. USD
11 %
4.
100 Mio.-250 Mio. USD
8 %
5.
500 Mio.-1 Mrd. USD
6 %
Die Erkenntnisse zu den Aktivitäten staatlicher Akteure wurden aus mehreren Quellen zusammengetragen, um ein besseres Bild der Bedrohungslandschaft zu gewinnen und Beobachtungsfehler zu verringern. Zunächst präsentieren wir die Statistik, die aus der Korrelation der Kompromittierungsindikatoren für staatliche Akteure und den Telemetriedaten von Trellix-Kunden gewonnen wurden. Danach folgen die Erkenntnisse aus verschiedenen Berichten, die von der Sicherheitsbranche veröffentlicht und von der Threat Intelligence-Gruppe gründlich überprüft und analysiert wurden.
Wie bereits erwähnt, beziehen sich diese Statistiken auf die Kampagnen, nicht auf die Erkennungen selbst. Aufgrund zahlreicher Protokollverdichtungen, des Einsatzes von Bedrohungssimulationen durch unsere Kunden und allgemeiner Korrelationen mit der Knowledge Base für Bedrohungsdaten werden die Daten manuell gefiltert, um unsere Analyseziele zu erfüllen.
Unsere globalen Telemetriedaten haben Kompromittierungsindikatoren (IoCs) aufgezeigt, die zu verschiedenen Kampagnen von APT-Gruppen gehören. Wir beobachten, dass mit China in Verbindung stehende Bedrohungsakteure die weltweite Bedrohungslandschaft dominieren, wobei die meisten Erkennungen im 1. Quartal 2023 auf Mustang Panda zurückgehen. Da die chinesischen APT-Gruppen in erster Linie auf Sideloading und andere Tarntechniken setzen, werden sie ihre Malware-Tools vermutlich weniger häufig wechseln als andere Bedrohungsakteure. Das könnte zu höheren Erkennungszahlen führen, die auf eine weit verbreitete Nutzung eines Tools hindeuten, obwohl es nur sehr stark von chinesischen Gruppen eingesetzt wird.
Die folgenden Länder und Bedrohungsakteure mit ihren jeweiligen Tools und Techniken sowie betroffenen Ländern und Sektoren sind bei den identifizierten Kampagnen am häufigsten vertreten.
Länder mit den meisten Aktivitäten staatlicher Akteure, 1. Quartal 2023
79
Auf China entfiel im 1. Quartal 2023 der Großteil aller staatlichen Aktivitäten.
Aktivste Gruppen von Bedrohungsakteuren, 1. Quartal 2023
1.
Mustang Panda
72 %
2.
Lazarus
17 %
3.
UNC4191
1 %
4.
Common Raven
1 %
5.
APT34
1 %
Bei Aktivitäten staatlicher Akteure am häufigsten genutzte MITRE ATT&CK-Techniken, 1. Quartal 2023
1.
DLL Side-Loading
14 %
2.
Entschleierung/Dekodierung von Dateien oder Informationen
11 %
3.
Ingress Tool Transfer
10 %
4.
Daten vom lokalen System
10 %
5.
Erkennung von Dateien und Verzeichnissen
10 %
Bei Aktivitäten staatlicher Akteure am häufigsten genutzte böswillige Tools, 1. Quartal 2023
38
Auf PlugX entfielen im 1. Quartal 2023 insgesamt 38 % aller böswilligen staatlichen Aktivitäten.
1.
PlugX
38 %
2.
Cobalt Strike
35 %
3.
Raspberry Robin
14 %
4.
BLUEHAZE/DARKDEW/MISTCLOAK
3 %
5.
Mimikatz
3 %
Indien ist eines der führenden Länder Asiens, das in der Lage ist, starke Cyber-Programme aufzubauen. Einige Gruppen, insbesondere mit China verbundene Bedrohungsakteure, haben großes Interesse an indischen Entwicklungen in den Bereichen Technologie, Militär und Politik gezeigt. Eine signifikante Zahl von Erkennungen in Indien kann dem mit China verbundenen Bedrohungsakteur Mustang Panda zugeschrieben werden.
Länder mit den meisten Erkennungen staatlicher Aktivitäten, 1. Quartal 2023
34
Die Philippinen waren im 1. Quartal 2023 das Land mit den meisten Erkennungen staatlicher Aktivitäten.
Branchen mit den meisten Erkennungen staatlicher Aktivitäten, 1. Quartal 2023
Energiesektor/Öl- und Gassektor
Outsourcing und Hosting
Großhandel
Finanzsektor
Bildungswesen
Behörden
Energiesektor/Öl- und Gassektor
Outsourcing und Hosting
Großhandel
Finanzsektor
Bildungswesen
Behörden
Trellix Advanced Research Center’s experts in reverse engineering and vulnerability analysis continuously monitor the latest vulnerabilities in order to provide guidance to customers on how threat actors are leveraging them and how to mitigate the probability and impact of these attacks.
Wenig überraschend zeigte sich im 1. Quartal 2023, dass zu den besonders kritischen Schwachstellen die Umgehung von Patches für ältere CVEs, Lieferkettenfehler durch die Nutzung veralteter Bibliotheken oder seit langem gepatchte Schwachstellen gehören.
Ein Beispiel ist CVE-2022-47966, eine kritische (9,8) Schwachstelle in Zoho ManageEngine-Produkten, die in diesem Januar die Runde machte. ManageEngine wird von tausenden Unternehmen auf der ganzen Welt genutzt, sodass wir nicht überrascht waren, als die aktive Ausnutzung dieser Schwachstelle entdeckt wurde. Interessant fanden wir etwas anderes: Die Schwachstelle ging auf die Nutzung von Apache Santuario 1.4.1 zurück, eine fast 18 Jahre alte fehlerhafte Version, die XML-Injektionsangriffe ermöglichte. Im Oktober patchte Zoho die Schwachstelle in seiner Produkt-Suite, und fast drei Monate später (im 1. Quartal) veröffentlichte CISA eine Warnung über die aktive Ausnutzung und die dringende Patch-Empfehlung für Unternehmen.
Ein weiteres Beispiel ist CVE-2022-44877, eine kritische Schwachstelle in Control Web Panel (CWP). Obwohl diese Schwachstelle nicht direkt mit unserem vorhergehenden Beispiel zusammenhängt, hat sie viel damit gemeinsam: Es handelt sich erneut um eine kritische (9,8) Remote-Code-Ausführung (RCE), die im Januar vielfach ausgenutzt wurde, obwohl seit Oktober ein Patch zur Verfügung stand. Die Ursache war ebenfalls nicht sonderlich raffiniert: Befehlsinjektion mit einer gewöhnlichen Shell-Variablenerweiterung in einem URL-Parameter.
Ein drittes Beispiel ist CVE-2021-21974, eine Schwachstelle im VMware ESXi-Dienst OpenSLP, die bereits im Februar 2021 geschlossen wurde – fast genau zwei Jahre vor dem plötzlichen Wiederauftauchen aufgrund einer aktiven Ausnutzung. Als wir in unserem Bug-Report vom Februar von dieser Schwachstelle berichteten, fanden wir mit Shodan etwa 48.000 aus dem Internet erreichbare Server, die immer noch anfällige ESXi-Versionen ausführten. Aktuell liegt diese Zahl immer noch bei mehr als 38.000 – das sind gerade einmal 22 % weniger.
Ende Februar 2023
48.471
Ende April 2023
38.047
Tabelle 1: Ergebnisse der Shodan-Scans Ende Februar und Ende April auf anfällige ESXi-Instanzen.
Wir fanden selbst einige Fälle, als wir Anfang des Jahres Apple-Geräte untersuchten: CVE-2023-23530 und CVE-2023-23531. Diese beiden Schwachstellen unterscheiden sich von den zwei vorhergehenden Beispielen, da ihre Auswirkung auf eine lokale Erhöhung von Berechtigungen beschränkt ist und keine RCE darstellt. Das ist jedoch kein Grund, sie nicht ernst zu nehmen, da eine sehr ähnliche Schwachstelle beim FORCEDENTRY-Exploit ausgenutzt wurde, mit dem die NSO-Gruppe im Jahr 2021 ihre Pegasus-Spyware in den Systemen verankerte. Tatsächlich nutzen die beiden von uns entdeckten CVEs die gleiche Primitive, die als Grundlage für den FORCEDENTRY-Exploit diente: die harmlose Klasse NSPredicate. Der Ansatz von Apple zum Schließen der FORCEDENTRY-Lücke bestand jedoch lediglich darin, eine umfangreiche Blockierungsliste anzulegen, um Ausnutzungsmöglichkeiten für NSPredicate zu minimieren. Das zugrunde liegende Problem wurde damit nicht behoben.
Es wäre zu einfach, auf solche Trends zu verweisen und zu schlussfolgern, dass Anbieter die Sicherheit nicht ernst nehmen, oder das Recycling alter Exploits durch Bedrohungsakteure und Forscher beklagen. Aber das wäre falsch. Schwachstellenforscher analysieren verschiedene Varianten, weil das eine effektive Möglichkeit ist, die Prioritäten echter Bedrohungsakteure nachzuvollziehen. Das Aufdecken einer Umgehungsmöglichkeit für Fehlerbehebungen oder eine alte CVE in einem selten gepatchten Produkt bietet fast immer eine bessere Rendite, als das Rad neu zu erfinden. Unternehmen, die das verstehen, sollten daraus folgende Schlussfolgerung ziehen: Auch wenn hochmoderne Technologien zur Bedrohungserkennung in der heutigen Zeit unverzichtbar sind, haben grundlegende Prinzipien wie Patch-Prozesse und Lieferkettenüberprüfungen längst nicht ausgedient.
Die Statistiken zur E-Mail-Sicherheit basieren auf Telemetriedaten, die aus verschiedenen, bei Kunden in aller Welt installierten E-Mail-Sicherheits-Appliances generiert wurden.
Phishing-Angriffe, die seriöse Marken imitieren und Benutzer dazu verleiten, ihre Anmeldeinformationen weiterzugeben, sind gerade im Aufschwung. Dabei setzen solche E-Mail-Angriffe verstärkt auf DWeb, IPFS und Google Übersetzer. Angreifer nutzten auch Freemail- und vergleichbare Dienste wie PayPal-Rechnungen und Google Formulare, um Vishing-Attacken durchzuführen und eine Erkennung zu vermeiden. Auf ähnliche Weise wurden in diesem Zeitraum auch neue Marken wie Scribd und LesMills, aber auch Google Play-Geschenkkarten ausgenutzt.
Bei der im 1. Quartal 2023 eingesetzten Malware, die für diese Angriffe eingesetzt wurde, legten im Vergleich zum letzten Jahr vor allem Formbook und Agent Tesla zu. Ein Grund dafür könnte sein, dass sich beide Malware-Familien im Gegensatz zu Remcos, Emotet und Qakbot leicht beschaffen und einsetzen lassen.
Am häufigsten in E-Mails genutzte Malware-Taktiken, 1. Quartal 2023
44
Formbook machte im 1. Quartal 2023 fast die Hälfte aller E-Mail-Malware aus, dicht gefolgt von Agent Tesla.
Am häufigsten mit Phishing-E-Mails angegriffene Länder, 1. Quartal 2023
30
Die USA und Südkorea waren im 1. Quartal 2023 am häufigsten Ziele von E-Mail-Phishing-Versuchen – auf sie entfielen fast zwei Drittel aller weltweiten Phishing-Angriffe.
1.
USA
30 %
2.
Südkorea
29 %
3.
Taiwan
10 %
4.
Brasilien
8 %
5.
Japan
7 %
Am häufigsten mit Phishing-E-Mails angegriffene Produkte und Marken, 1. Quartal 2023
38
Obwohl hunderte Marken angegriffen wurden, machten Microsoft-Produkte im 1. Quartal 2023 bei weitem den Löwenteil aus.
Am häufigsten von böswilligen E-Mails betroffene Branchen, 1. Quartal 2023
1.
Behörden
11 %
2.
Finanzdienstleistungen
8 %
3.
Fertigungsunternehmen
8 %
4.
Technologie
6 %
5.
Unterhaltung
5 %
Stark missbrauchte Web-Hosting-Anbieter, 1. Quartal 2023
1.
IPFS
41 %
2.
Google Übersetzer
33 %
3.
Dweb
16 %
4.
Amazon AWS Appforest
3 %
5.
Firebase OWA
3 %
Bei Phishing-Angriffen am häufigsten genutzte Umgehungstechniken, 1. Quartal 2023
79
Umgehungen mit 302-Weiterleitungen wurden im 1. Quartal 2023 am häufigsten bei Phishing-Angriffen eingesetzt.
46
Captcha-basierte Angriffe nahmen im 1. Quartal 2023 gegenüber dem 4. Quartal 2022 erheblich zu.
Im Zuge der Erkennung und Blockierung von Netzwerkangriffen auf unsere Kunden untersuchen die Forscher des Trellix Advanced Research Center-Teams unterschiedliche Bereiche der Angriffskette – von der Erkundung und Erstkompromittierung bis zur C&C-Kommunikation (Command-and-Control) und TTPs für laterale Bewegungen.
Malware-Callbacks werden durch Erkennung und Blockierung der Malware-Kommunikation mit dem Controller identifiziert. Vergleich mit dem 4. Quartal 2022:
Rückgang bei STOP-Ransomware-Aktivitäten
90
Zunahme bei LockBit-Ransomware, die von Amadey verteilt wird
25
Steigerung bei Android-Malware-Aktivitäten
12,5
Steigerung bei Ursnif-Aktivitäten
10
Steigerung bei Smoke Loader-Aktivitäten
7
Steigerung bei Amadey-Aktivitäten
4
Steigerung bei Cobalt Strike-Aktivitäten
3
Steigerung bei Emotet-Aktivitäten
2
Schwerwiegendste Angriffe auf öffentlich zugängliche Dienste, 1. Quartal 2023
Cloud-Infrastruktur-Angriffe auf Dienste von Amazon, Microsoft, Google und andere nehmen weiter zu. Die nachfolgenden Abschnitte bieten eine kurze Beschreibung der Cloud-basierten Telemetriedaten unseres Kundenstamms, aufgeschlüsselt nach Cloud-Anbietern.
Gültige Konten
3.437
4.312
997
Änderung der Datenverarbeitungsinfrastruktur des Cloud-Kontos
4.268
0
17
Nicht-Standard-Port
115
0
17
Mehrfaktor-Authentifizierung
190
1.534
22
Netzwerkdiensterkennung
141
93
0
Brute-Force-Angriff
25
1.869
22
Proxy
299
2.744
135
Kontoerkennung
264
68
787
E-Mail-Weiterleitungsregel
25
0
22
Ausführung per API
1.143
0
252
Erfassung: Trellix und unsere erstklassigen Advanced Research Center-Experten erfassen die Statistiken, Trends und Einblicke, die in diesen Bericht einfließen, aus verschiedensten weltweiten Quellen.
Normalisierung: Die aggregierten Daten werden in unseren Plattformen Trellix Insights und Trellix ATLAS verarbeitet. Dabei setzt das Team auf intensive, integrierte und iterative Prozesse, die Machine Learning, Automatisierung und menschliche Intuition nutzen, um die Daten zu normalisieren, die Ergebnisse anzureichern, persönliche Informationen zu entfernen und Korrelationen zu finden, wobei verschiedene Angriffsmethoden, Agenten, Sektoren, Regionen, Strategien und Ereignisse berücksichtigt werden.
Analyse: Als Nächstes analysiert Trellix dieses gewaltige Informationsreservoir anhand (1) der eigenen umfassenden Bedrohungsdaten-Knowledge Base, (2) Cyber-Sicherheitsberichten angesehener und anerkannter Branchenquellen sowie (3) den Erfahrungen und Erkenntnissen von Trellix-Cyber-Sicherheitsanalysten, Ermittlern, Reverse-Engineering-Spezialisten, Forensikern und Schwachstellenexperten.
Interpretation: Daraus gewinnt, überprüft und validiert das Trellix-Team wichtige Erkenntnisse, mit denen Cyber-Sicherheitsverantwortliche und SecOps-Teams (1) die neuesten Trends bei Cyber-Bedrohungen verstehen und (2) mit diesen Einblicken zukünftige Cyber-Angriffe auf ihr Unternehmen vorhersehen, verhindern und abwehren können.
Das Trellix Advanced Research Center hat die umfassendste Richtlinie der Cyber-Sicherheitsbranche und ist Vorreiter bei neuen Methoden, Trends und Akteuren der weltweiten Bedrohungslandschaft. Als führender Partner von Sicherheitsteams in aller Welt liefert das Trellix Advanced Research Center Informationen und neueste Inhalte für Sicherheitsanalysten und stärkt gleichzeitig unsere führende XDR-Plattform. Außerdem bietet die Threat Intelligence-Gruppe des Trellix Advanced Research Center unseren weltweiten Kunden Bedrohungsdaten-Produkte und -Services an.
Trellix ist ein globales Unternehmen, das die Zukunft der Cyber-Sicherheit und verantwortungsvolle Arbeit neu definiert. Seine offene und native eXtended Detection and Response-Plattform (XDR) hilft Unternehmen, die mit den raffiniertesten Bedrohungen von heute konfrontiert werden, das Vertrauen in den Schutz und die Resilienz ihrer Abläufe zu stärken. Zusammen mit einem umfassenden Partnerökosystem förderte Trellix die technologische Innovationsfähigkeit durch Machine Learning und Automatisierung, um über 40.000 Geschäfts- und Behördenkunden durch Living Security zu stärken.
Abonnieren Sie unsere Informationen zu Bedrohungen.
Die auf dieser Webseite enthaltenen Informationen beschreiben die Forschungsergebnisse zum Thema Computersicherheit. Sie werden Trellix-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Trellix führt die Untersuchungen entsprechend der Trellix-Richtlinie für die verantwortungsvolle Offenlegung von Schwachstellen durch. Jeglicher Versuch, die hierin beschriebenen Aktivitäten teilweise oder vollständig nachzuvollziehen, erfolgt ausschließlich auf Risiko des Benutzers, und weder Trellix noch die Tochterunternehmen können dafür verantwortlich oder haftbar gemacht werden.
Trellix ist eine eingetragene Marke von Musarubra US LLC oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.