RadioCSIRT Deutsche Ausgabe – (Ep.56)

Willkommen zu Ihrem täglichen
Cybersicherheits-Podcast.


Amazon gibt bekannt, eine mit Nordkorea verbundene Infiltration
bei einer IT-Rekrutierung identifiziert zu haben. Ein als in den
USA ansässig deklarierter Systemadministrator wurde durch eine
Tastenanschlag-Latenz von über 110 Millisekunden zu den Servern
in Seattle erkannt, was auf interkontinentale Fernsteuerung
hinweist. Die Kontrollinfrastruktur wurde bis nach China
zurückverfolgt. Amazon gibt an, seit April 2024 mehr als 1.800
betrügerische Rekrutierungsversuche im Zusammenhang mit Nordkorea
blockiert zu haben, mit einem vierteljährlichen Anstieg von 27 %.


Ein russischer APT-Akteur führt eine Phishing-Kampagne durch, die
auf Regierungsbehörden auf dem Balkan und im Baltikum abzielt.
Die Angriffe beruhen auf HTML-Anhängen, die als PDFs getarnt sind
und institutionelle Köder sowie gefälschte
Authentifizierungsformulare enthalten. Die Zugangsdaten werden
über formcarry.com exfiltriert, mit Wiederverwendung von
JavaScript-Code und Regex, die seit mindestens 2023 beobachtet
wurde.


Microsoft bestätigt einen globalen Ausfall von Microsoft Teams,
der das Senden und Empfangen von Nachrichten in allen Regionen
und bei allen Kunden beeinträchtigt hat. Der Vorfall beginnt um
14:30 Uhr Ostküstenzeit und wird eine Stunde später vollständig
behoben. Es werden keine Indikatoren für böswillige Aktivitäten
mitgeteilt.


Eine Malware-Kampagne nutzt Microsoft Office-Dokumente,
SVG-Dateien und komprimierte Archive aus, um Windows-Systeme zu
kompromittieren. Die Angreifer nutzen CVE-2017-11882 aus,
verwenden PNG-Steganographie und Process Hollowing über
RegAsm.exe, um RATs und Stealer bereitzustellen, darunter
AsyncRAT, Remcos und PureLog Stealer.


In den Vereinigten Staaten werden ATM-Jackpotting-Angriffe einer
kriminellen Gruppe zugeschrieben, die die Ploutus-Malware über
physischen Zugriff auf Geldautomaten einsetzt. Die
Kompromittierung beruht auf der Modifikation oder dem Austausch
der Festplatten der Geldautomaten, was die Kontrolle über das
Geldausgabemodul ermöglicht. Die Verluste werden seit 2020 auf
über 40 Millionen Dollar geschätzt.


Quellen:
Amazon:
https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.html

Russischer APT:
https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/

Microsoft Teams:
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/

SVG / Office:
https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/

ATM Ploutus:
https://www.theregister.com/2025/12/19/tren_de_aragua_atm/


Nicht zu viel nachdenken. Patchen.


Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter:
https://radiocsirtgermanedition.substack.com/