[CERT-daily] Tageszusammenfassung - 02.09.2024

Mon Sep 2 18:21:03 CEST 2024

=====================
= End-of-Day report =
=====================

Timeframe:   Freitag 30-08-2024 18:00 − Montag 02-09-2024 18:00
Handler:     Michael Schlagenhaufer
Co-Handler:  n/a

=====================
=       News        =
=====================

∗∗∗ Administrative IT infiltriert: Cyberangriff trifft Deutsche Flugsicherung ∗∗∗
---------------------------------------------
Nach Angaben eines Unternehmenssprechers betrifft der Vorfall die Büro-IT der DFS. Auswirkungen auf den Flugverkehr hat der Angriff wohl nicht. [..] Wer genau hinter dem Cyberangriff auf die Deutsche Flugsicherung steckt, lässt sich noch nicht mit Gewissheit beantworten. [..] Derzeit sei das Unternehmen dabei, den Vorfall einzudämmen und dessen Auswirkungen zu minimieren.
---------------------------------------------
https://www.golem.de/news/administrative-it-infiltriert-cyberangriff-trifft-deutsche-flugsicherung-2409-188600.html


∗∗∗ TSA-Airport-Sicherheitskontrollen per SQL-Injection ausgehebelt ∗∗∗
---------------------------------------------
Sicherheitsforschern in den USA ist es gelungen, über SQL-Injection das FlyCASS-Sicherheitssystem zu täuschen und damit Zugangssperren zu umgehen.
---------------------------------------------
https://heise.de/-9853305


∗∗∗ Windows: Side-Loading DLL-Angriffe über licensingdiag.exe ∗∗∗
---------------------------------------------
Wer sich um den Punkt Windows-Sicherheit Gedanken macht, sollte das Befehlszeilentool licensingdiag.exe im Fokus behalten. Es ist ein weiteres "living of the land" Tool, welches für Side-Loading DLL-Angriffe genutzt werden kann.
---------------------------------------------
https://www.borncity.com/blog/2024/09/01/windows-side-loading-dll-angriffe-ber-licensingdiag-exe/


∗∗∗ Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant ∗∗∗
---------------------------------------------
Unit 42 discusses WikiLoader malware spoofing GlobalProtect VPN, detailing evasion techniques, malicious URLs, and mitigation strategies.
---------------------------------------------
https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/


∗∗∗ GitHub comments abused to push password stealing malware masked as fixes ∗∗∗
---------------------------------------------
GitHub is being abused to distribute the Lumma Stealer information-stealing malware as fake fixes posted in project comments. [..] The solution tells people to download a password-protected archive from mediafire.com or through a bit.ly URL and run the executable within it. In the current campaign, the password has been "changeme" in all the comments we have seen.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/


∗∗∗ Docker-OSX image used for security research hit by Apple DMCA takedown ∗∗∗
---------------------------------------------
The popular Docker-OSX project has been removed from Docker Hub after Apple filed a DMCA (Digital Millennium Copyright Act) takedown request, alleging that it violated its copyright.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/docker-osx-image-used-for-security-research-hit-by-apple-dmca-takedown/


∗∗∗ Cicada3301 ransomware’s Linux encryptor targets VMware ESXi systems ∗∗∗
---------------------------------------------
A new ransomware-as-a-service (RaaS) operation named Cicada3301 has already listed 19 victims on its extortion portal, as it quickly attacked companies worldwide. [..] An analysis of the new malware by Truesec revealed significant overlaps between Cicada3301 and ALPHV/BlackCat, indicating a possible rebrand or a fork created by former ALPHV's core team members. [..] For context, ALPHV performed an exit scam in early March 2024 involving fake claims about an FBI takedown operation after they stole a massive $22 million payment from Change Healthcare from one of their affiliates.
---------------------------------------------
https://www.bleepingcomputer.com/news/security/cicada3301-ransomwares-linux-encryptor-targets-vmware-esxi-systems/


∗∗∗ Ausweiskopie und persönliche Daten an Kriminelle weitergegeben? Das können Sie tun ∗∗∗
---------------------------------------------
Sie wurden Opfer einer Betrugsmasche und haben dabei persönliche Daten oder sogar Ausweiskopien übermittelt? Wir zeigen Ihnen, was Sie tun können, wenn Kriminelle Ihre Daten ergaunert haben!
---------------------------------------------
https://www.watchlist-internet.at/news/ausweiskopie-und-persoenliche-daten-an-kriminelle-weitergegeben-das-koennen-sie-tun/


∗∗∗ Malware "Voldemort": Angreifer nehmen verstärkt Steuerzahler ins Visier ∗∗∗
---------------------------------------------
Eine neue Angriffswelle zielt verstärkt auf Steuerbehörden, aber auch auf andere Behörden und Unternehmen verschiedener Länder ab, auch hierzulande. Dabei wird die Malware "Voldemort" über Phishing-Mails verbreitet. Wer klickt, installiert sich womöglich eine Backdoor. [..] Über die Hälfte der betroffenen Organisationen stammt aus den Bereichen Versicherungen, Luft- und Raumfahrt, Verkehr und Bildung.
---------------------------------------------
https://heise.de/-9854106


=====================
=  Vulnerabilities  =
=====================

∗∗∗ Fortra fixed two severe issues in FileCatalyst Workflow, including a critical flaw ∗∗∗
---------------------------------------------
Cybersecurity and automation company Fortra released patches for two vulnerabilities in FileCatalyst Workflow. Once of the vulnerabilities is a critical issue, tracked as CVE-2024-6633 (CVSS score of 9.8) described as Insecure Default in FileCatalyst Workflow Setup.
---------------------------------------------
https://securityaffairs.com/167838/security/fortra-filecatalyst-critical-workflow.html


∗∗∗ Security updates for Monday ∗∗∗
---------------------------------------------
Security updates have been issued by AlmaLinux (postgresql:16), Debian (dovecot, pymatgen, ruby2.7, systemd, and webkit2gtk), Fedora (microcode_ctl, python3.11, vim, and xen), Oracle (kernel, postgresql:12, postgresql:13, postgresql:15, and python39:3.9 and python39-devel:3.9), Slackware (libpcap), SUSE (cacti, cacti-spine, python-Django, and trivy), and Ubuntu (dovecot).
---------------------------------------------
https://lwn.net/Articles/988364/


∗∗∗ WordPress Vulnerability & Patch Roundup August 2024 ∗∗∗
---------------------------------------------
https://blog.sucuri.net/2024/08/wordpress-vulnerability-patch-roundup-august-2024.html


∗∗∗ MISP 2.4.197 released with many bugs fixed, a security fix and improvements. ∗∗∗
---------------------------------------------
https://github.com/MISP/MISP/releases/tag/v2.4.197

-- 
CERT.at Daily mailing list
Listinfo: https://lists.cert.at/cgi-bin/mailman/listinfo/daily