[CERT-daily] Tageszusammenfassung - 08.04.2021

Daily end-of-shift report team at cert.at
Thu Apr 8 18:11:50 CEST 2021


=====================
= End-of-Day report =
=====================

Timeframe:   Mittwoch 07-04-2021 18:00 − Donnerstag 08-04-2021 18:00
Handler:     Dimitri Robl
Co-Handler:  Stephan Richter

=====================
=       News        =
=====================

∗∗∗ Warnung vor täuschend echtem Fake-Shop, der PS5 verkauft ∗∗∗
---------------------------------------------
Der Online-Store scheint auf den ersten Blick seriös. Dahinter verstecken sich aber Betrüger.
---------------------------------------------
https://futurezone.at/games/warnung-vor-taeuschend-echtem-fake-shop-der-ps5-verkauft/401344703


∗∗∗ Hackerangriffe auf Logistikunternehmen ∗∗∗
---------------------------------------------
ESET hat herausgefunden, dass die Lazarus-Gruppe Logistikunternehmen gezielt angreift. Das ist heikel, denn Ausfälle in der weltweiten Frachtlogistik können gravierende Folgen haben.
---------------------------------------------
https://www.zdnet.de/88394254/hackerangriffe-auf-logistikunternehmen/


∗∗∗ How to Know If You Are Under DDoS Attack ∗∗∗
---------------------------------------------
Nowadays, the term DDoS probably raises the heart rate of most webmasters. Though many don’t know exactly what a DDoS attack is, they do know the effect: an extremely sluggish or shut-down website.  In this article, we’ll focus on how to know if your website is under attack and how to protect it.
---------------------------------------------
https://blog.sucuri.net/2021/04/how-to-know-if-you-are-under-a-ddos-attack.html


∗∗∗ [SANS ISC] Simple Powershell Ransomware Creating a 7Z Archive of your Files ∗∗∗
---------------------------------------------
I published the following diary on isc.sans.edu: “Simple Powershell Ransomware Creating a 7Z Archive of your Files“: If some ransomware families are based on PE files with complex features, it’s easy to write quick-and-dirty ransomware in other languages like Powershell. I found this sample while hunting. I’m pretty confident that this [...]
---------------------------------------------
https://blog.rootshell.be/2021/04/08/sans-isc-simple-powershell-ransomware-creating-a-7z-archive-of-your-files/


∗∗∗ Vulnerability in Fortigate VPN servers is exploited in Cring ransomware attacks ∗∗∗
---------------------------------------------
In Q1 2021, threat actors conducted a series of attacks using the Cring ransomware. These attacks were mentioned in a Swisscom CSIRT tweet, but it remained unclear how the ransomware infects an organization's network. An incident investigation conducted by Kaspersky ICS CERT experts at one of the attacked enterprises revealed that attacks of the Cring ransomware exploit a vulnerability in Fortigate VPN servers.
---------------------------------------------
https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/


∗∗∗ Update on git.php.net incident ∗∗∗
---------------------------------------------
Hi everyone, 
 
I would like to provide an update regarding the git.php.net security incident. To briefly summarize the most important information: 
 
- We no longer believe the git.php.net server has been compromised. However, it is possible that the master.php.net user database leaked. 
- master.php.net has been migrated to a new system main.php.net. 
- All php.net passwords have been reset. Go to https://main.php.net/forgot.php to set a new password. 
- git.php.net and svn.php.net are both read-only now, but will remain available for the time being.
 
The following is a more detailed explanation of what happened and which actions were taken.
---------------------------------------------
https://externals.io/message/113981


∗∗∗ Office 365 phishing campaign uses publicly hosted JavaScript code ∗∗∗
---------------------------------------------
A new phishing campaign targeting Office 365 users cleverly tries to bypass email security protections by combining chunks of HTML code delivered via publicly hosted JavaScript code. The phishing email and page The subject of the phishing email says "price revision" and it contains no body - just an attachment (hercus-Investment 547183-xlsx.Html) that, at first glance, looks like an Excel document, but is actually an HTML document that contains encoded text pointing to two [...]
---------------------------------------------
https://www.helpnetsecurity.com/2021/04/08/office-365-phishing-javascript/


∗∗∗ Zoom zero-day discovery makes calls safer, hackers $200,000 richer ∗∗∗
---------------------------------------------
White hat hackers have demonstrated a Remote Code Execution attack against Zoom at the Pwn2Own event.
---------------------------------------------
https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/04/zoom-zero-day-discovery-makes-calls-safer-hackers-200000-richer/


∗∗∗ Library Dependencies and the Open Source Supply Chain Nightmare ∗∗∗
---------------------------------------------
It’s a bigger problem than is immediately apparent, and has the potential for hacks as big as Equifax and as widespread as SolarWinds.
---------------------------------------------
https://www.securityweek.com/library-dependencies-and-open-source-supply-chain-nightmare


∗∗∗ appleiphoneunlock.uk: Unseriöse Praktiken beim Entfernen der iCloud-Aktivierungssperre! ∗∗∗
---------------------------------------------
Sie haben ein gebrauchtes iPhone gekauft und erst im Nachhinein festgestellt, dass Sie es mit Ihrer iCloud-ID gar nicht nutzen können? Die Lösung: Die iCloud-Aktivierungssperre muss freigeschalten werden. Aber Achtung: Unseriöse Seiten bieten solche Entsperrungsdienste an. So zum Beispiel appleiphoneunlock.uk. KonsumentInnen berichten, dass die Angaben beim Bestellprozess irreführend sind und immer wieder weitere Kosten anfallen.
---------------------------------------------
https://www.watchlist-internet.at/news/appleiphoneunlockuk-unserioese-praktiken-beim-entfernen-der-icloud-aktivierungssperre/


∗∗∗ Weiter fake Willhaben-SMS zu angeblicher PayLivery-Zahlung ∗∗∗
---------------------------------------------
Zahlreiche KonsumentInnen wenden sich momentan an die Watchlist Internet, da sie eine betrügerische SMS zu einer Willhaben-Anzeige erhalten haben. Die Nachricht der Kriminellen täuscht eine Zahlung vor und leitet auf gefälschte Willhaben-Seiten weiter. Die SMS müssen ignoriert werden, ansonsten droht ein Geld- und Datenverlust!
---------------------------------------------
https://www.watchlist-internet.at/news/weiter-fake-willhaben-sms-zu-angeblicher-paylivery-zahlung/


∗∗∗ GamerInnen aufgepasst: So versuchen Kriminelle Ihren Steam-Account zu klauen! ∗∗∗
---------------------------------------------
Mit mehr als einer Milliarde aktiven NutzerInnen und mit über 30.000 Spielen ist Steam die größte Gaming-Plattform. Kein Wunder, dass die Plattform auch ein beliebtes Ziel für BetrügerInnen ist. Immer wieder geben sich Kriminelle als Steam-MitarbeiterInnen aus, um an die Accounts der SpielerInnen zu kommen. Wir zeigen Ihnen wie die Masche funktioniert und wie Sie sich schützen.
---------------------------------------------
https://www.watchlist-internet.at/news/gamerinnen-aufgepasst-so-versuchen-kriminelle-ihren-steam-account-zu-klauen/



=====================
=  Vulnerabilities  =
=====================

∗∗∗ Azure Functions Weakness Allows Privilege Escalation ∗∗∗
---------------------------------------------
Microsofts cloud-container technology allows attackers to directly write to files, researchers said.
---------------------------------------------
https://threatpost.com/azure-functions-privilege-escalation/165307/


∗∗∗ Cisco: Wichtige Updates beseitigen aus der Ferne attackierbare Sicherheitslücken ∗∗∗
---------------------------------------------
Die ersten Cisco-Updates nach den Feiertagen zielen unter anderem auf die SD-WAN vManage Software und Small Business RV Router. Zwei Lücken gelten als kritisch.
---------------------------------------------
https://heise.de/-6008277


∗∗∗ Security updates for Thursday ∗∗∗
---------------------------------------------
Security updates have been issued by Fedora (chromium, libldb, rpm, samba, and seamonkey), openSUSE (isync), Oracle (kernel), Red Hat (openssl and squid), SUSE (ceph, flatpak, libostree, xdg-desktop-portal, xdg-desktop-portal-gtk, fwupd, fwupdate, and openexr), and Ubuntu (curl, linux-lts-trusty, and lxml).
---------------------------------------------
https://lwn.net/Articles/851956/


∗∗∗ ImageMagick: Schwachstelle ermöglicht Offenlegung von Informationen ∗∗∗
---------------------------------------------
https://www.cert-bund.de/advisoryshort/CB-K21-0361


∗∗∗ ClamAV: Mehrere Schwachstellen ∗∗∗
---------------------------------------------
https://www.cert-bund.de/advisoryshort/CB-K21-0358

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily




More information about the Daily mailing list