Wir beraten Sie gerne!

Hotline:
+49 40 38 90 710

E-Mail:
info@secion.de

Kontaktformular

Supply Chain-Attacke auf Passwort-Manager: Erneut Angriffsmuster von SolarWinds!

von

Lesezeit: Minuten ( Wörter)

Das Angriffsmuster der Supply Chain Attacke, das Ende 2020 bereits das Unternehmen SolarWinds getroffen hatte, scheint sich weiter erfolgreich fortzusetzen: Immer häufiger versuchen Cyberkriminelle, über das Einschleusen von Code in legitime Software zunächst auf die Rechner und damit an die Daten ihrer Opfer zu gelangen. So kam es jüngst zu einem Lieferkettenangriff auf den Softwarehersteller Click Studios und dessen Passwort-Manager Passwordstate. In diesem Fall gelang es den Angreifern, schadhaften Code über ein Update einzuschleusen, um so Kennwörter und andere vertrauliche Daten zu stehlen.

Click Studios informierte seine Kunden erstmals am vergangenen Freitag über die Attacke, die zwischen dem 20. und dem 22. April 2021 stattgefunden hat: Dabei wurde der Update-Mechanismus verwendet, um ein böswilliges Update über eine Zip-Datei "Passwordstate_upgrade.zip" zu löschen, die eine betrügerische DLL "moserware.secretsplitter.dll" enthält. Das Unternehmen erwähnt, dass das C&C der Rogue-DLL ein CDN (Content Delivery Network) verwendet hat, das am 22. April 2021 um 7:00 Uhr UTC beendet wurde. Es ist davon auszugehen, dass die Malware "Moserware", vertrauliche Informationen einschließlich der vorhandenen Kennwörter abgezogen hat.* Die Nutzer von Passwordstate, die ein Update in dem genannten Zeitraum eingespielt haben, sollten daher davon ausgehen, dass ihre Umgebung infiltriert wurde und ihre Systeminformationen sowie Passwortdaten als kompromittiert gelten: Hierunter sollen neben Computer-, Benutzer-, Domänen- und aktuellem Prozessnamen die aktuelle Prozess-ID, Name und ID aller laufenden Prozesse sowie Benutzername und Passwort fallen. Dazu kommen weitere Felder in der Kennworttabelle der Passwordstate-Instanz. *https://www.csis.dk

Der Domänenname und der Hostname würden nicht extrahiert. Es gebe bisher "keinen Hinweis darauf, dass Verschlüsselungsschlüssel oder Datenbank-Verbindungszeichenfolgen an das CDN-Netzwerk der Hacker gesendet würden", so das Unternehmen Click Studios.

Handlungsempfehlungen

Der Anbieter Click Studios empfiehlt den Nutzern von Passwordstate, umgehend all ihre Passwörter zurücksetzen, falls sie den Upgrade Passwordstate_upgrade.zip" in den 28 Stunden zwischen 20. April, 8.33 PM UTC und 22. April 0.30 Uhr AM UTC heruntergeladen haben. "Es wird davon ausgegangen, dass nur Kunden, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben, betroffen sind und deren Passwordstate-Passwortdaten möglicherweise abgegriffen wurden", so das Unternehmen.

Weitere Informationen hierzu stellt Click Studios in einem Advisory pdf zur Verfügung.

Wie schützen Sie Ihr Unternehmen vor Supply Chain-Angriffen?

Kontaktieren Sie unsere Experten!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück

Zum Thema passende Artikel

IT Security Ausblick 2023: Zeiten der Unsicherheit, 9 Prognosen

Der IT Security Ausblick 2023 | Allgeier secion

Das vergangene Jahr 2022 lässt sich knapp umschreiben: wenig vorhersehbar. Eine herausfordernde Wirtschaftslage, politische Umwälzungen, die mit sich rapide ändernden Rahmenbedingungen einhergehen, Inflation, Fachkräftemangel und steigende Energiepreise haben zu einem nicht gekannten Unsicherheitsgefühl geführt, dessen Auswirkungen auch in der IT Security Branche deutlich zu spüren sind. Wo werden in den nächsten 12 Monaten die zentralen Herausforderungen liegen? Wir haben uns hierzu einige Gedanken gemacht und diese anhand der folgenden 9 Punkte zusammengefasst, denn eines ist schon jetzt absehbar: Die Gefahrenlage bleibt hoch und wird sich in 2023 weiter verschärfen.

Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken

Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken

QR-Codes gibt es bereits seit fast 30 Jahren. Heute scannen wir die viereckigen Codes ganz selbstverständlich mit unserem Smartphone, um Bankaufträge freizugeben, einen digitalen Impfnachweis zu erstellen oder Gutscheine abzurufen. Da QR-Codes jedoch auch von Cyberkriminellen für betrügerische Zwecke genutzt werden, sollten Sie den kleinen Quadraten nicht grenzenlos vertrauen. Vorsicht ist vor allem dann geboten, wenn Sie einen QR-Code per E-Mail erhalten: Dahinter könnte sich ein raffinierter Phishing-Angriff verstecken. Wir zeigen Ihnen, wie Sie Quishing-Attacken erkennen und sich vor ihnen schützen können.