DragonForce Malaysia veröffentlicht LPE-Exploit und bedroht Ransomware

Die Hacktivistengruppe DragonForce Malaysia hat einen Exploit veröffentlicht, der es Windows Server ermöglicht, lokale Privilegien-Eskalation (LPE) bereitzustellen, um Zugriff auf die Fähigkeiten des lokalen Verteilungsrouters (LDR) zu gewähren. Es kündigte auch an, dass es Ransomware-Angriffe zu seinem Arsenal hinzufügt.

Die Gruppe veröffentlichte am 23. Juni einen Proof of Concept (PoC) des Exploits auf ihrem Telegram-Kanal, der später veröffentlicht wurde von CloudSEK analysiert in dieser Woche. Obwohl kein CVE für den Fehler bekannt ist, behauptet die Gruppe, dass der Exploit verwendet werden kann, um die Authentifizierung „aus der Ferne in einer Sekunde“ zu umgehen, um auf die LDR-Schicht zuzugreifen, die verwendet wird, um lokale Netzwerke an verschiedenen Standorten einer Organisation miteinander zu verbinden.

Die Gruppe sagt, dass sie den Exploit in Kampagnen nutzen würde, die auf Unternehmen abzielen, die in Indien tätig sind, was direkt in ihr Steuerhaus fällt. In den letzten drei Monaten hat DragonForce Malaysia mehrere Kampagnen gestartet, die sich an zahlreiche Regierungsbehörden und Organisationen im Nahen Osten und in Asien richten.

„DragonForce Malaysia trägt zu einem Jahr bei, das wegen geopolitischer Unruhen lange in Erinnerung bleiben wird“, sagt Daniel Smith, Forschungsleiter der Cyber Threat Intelligence Division von Radware. „In Kombination mit anderen Hacktivisten hat die Bedrohungsgruppe erfolgreich die Lücke gefüllt, die Anonymous hinterlassen hat, während sie während des Wiederauflebens von Hacktivisten im Zusammenhang mit dem russisch-ukrainischen Krieg unabhängig geblieben ist.“

Die jüngste, „OpsPatuk“ genannte und im Juni gestartete, hat bereits mehrere Regierungsbehörden und Organisationen im ganzen Land gesehen, die Ziel von Datenlecks und Denial-of-Service-Angriffen waren, wobei die Zahl der Defacements 100 Websites überstieg.

„Es wird erwartet, dass DragonForce Malaysia auf absehbare Zeit weiterhin neue reaktionäre Kampagnen basierend auf ihrer sozialen, politischen und religiösen Zugehörigkeit definieren und starten wird“, sagt Smith. „Die jüngsten Operationen von DragonForce Malaysia … sollten Organisationen weltweit daran erinnern, dass sie in diesen Zeiten wachsam bleiben und sich bewusst sein sollten, dass Bedrohungen außerhalb der Strömung existieren Cyberkonflikt in Osteuropa"

Warum LPE auf dem Patching-Radar sein sollte

Obwohl nicht so auffällig wie Remote Code Execution (RCE), LPE-Exploits Stellen Sie einen Pfad von einem normalen Benutzer zu SYSTEM bereit, im Wesentlichen die höchste Berechtigungsstufe in der Windows-Umgebung. Wenn sie ausgenutzt werden, ermöglichen LPE-Schwachstellen einem Angreifer nicht nur einen Schritt in die Tür, sondern bieten auch lokale Administratorrechte – und Zugriff auf die sensibelsten Daten im Netzwerk.

Mit dieser erhöhten Zugriffsebene können Angreifer Systemänderungen vornehmen, Anmeldeinformationen von gespeicherten Diensten wiederherstellen oder Anmeldeinformationen von anderen Benutzern wiederherstellen, die dieses System verwenden oder sich bei ihm authentifiziert haben. Das Wiederherstellen der Anmeldeinformationen anderer Benutzer kann es einem Angreifer ermöglichen, sich als diese Benutzer auszugeben, wodurch Pfade für seitliche Bewegungen in einem Netzwerk bereitgestellt werden.

Mit erweiterten Berechtigungen kann ein Angreifer auch Verwaltungsaufgaben ausführen, Malware ausführen, Daten stehlen, eine Hintertür ausführen, um dauerhaften Zugriff zu erhalten, und vieles mehr.

Darshit Ashara, leitender Bedrohungsforscher für CloudSEK, bietet ein beispielhaftes Angriffsszenario.

„Der Angreifer des Teams kann jede einfache, auf Webanwendungen basierende Schwachstelle leicht ausnutzen, um einen ersten Fuß zu fassen und eine webbasierte Hintertür zu platzieren“, sagt Ashara. „Normalerweise hat der Rechner, auf dem der Webserver gehostet wird, Benutzerrechte. Hier wird der LPE-Exploit es dem Angreifer ermöglichen, höhere Privilegien zu erlangen und nicht nur eine einzelne Website, sondern auch andere auf dem Server gehostete Websites zu kompromittieren.“

LPE-Exploits bleiben oft ungepatcht

Tim McGuffin, Director of Adversarial Engineering bei LARES Consulting, einem Beratungsunternehmen für Informationssicherheit, erklärt, dass die meisten Unternehmen mit dem Patchen von LPE-Exploits warten, weil sie in der Regel überhaupt erst Zugriff auf das Netzwerk oder den Endpunkt benötigen.

„Es wird viel Aufwand in die anfängliche Verhinderung des Zugriffs gesteckt, aber je weiter man in die Angriffskette vordringt, desto weniger Aufwand wird auf Taktiken wie Privilegienausweitung, Lateral Movement und Persistenz gelegt“, sagt er. "Diese Patches werden in der Regel priorisiert und vierteljährlich gepatcht und verwenden keinen Notfall-"Patch-Now"-Prozess."

Nicole Hoffman, Senior Cyber Threat Intelligence Analyst bei Digital Shadows, stellt fest, dass die Bedeutung jeder Schwachstelle unterschiedlich ist, egal ob es sich um LPE oder RCE handelt.

„Nicht alle Schwachstellen können ausgenutzt werden, was bedeutet, dass nicht jede Schwachstelle sofort behoben werden muss. Es ist eine Einzelfallentscheidung“, sagt sie. „Einige LPE-Schwachstellen haben andere Abhängigkeiten, z. B. die Notwendigkeit eines Benutzernamens und eines Passworts, um den Angriff auszuführen. Das ist nicht unmöglich zu erreichen, erfordert aber ein höheres Maß an Raffinesse.“

Viele Unternehmen erstellen auch lokale Administratorkonten für einzelne Benutzer, damit diese alltägliche IT-Funktionen wie das Installieren ihrer eigenen Software auf ihren eigenen Computern ausführen können, fügt Hoffman hinzu.

„Wenn viele Benutzer über lokale Administratorrechte verfügen, ist es schwieriger, böswillige lokale Administratoraktionen in einem Netzwerk zu erkennen“, sagt sie. „Es wäre für einen Angreifer leicht, sich aufgrund schlechter Sicherheitspraktiken, die weit verbreitet sind, in den normalen Betrieb einzumischen.“

Jedes Mal, wenn ein Exploit in die Wildnis entlassen wird, dauert es nicht lange, bis Cyberkriminelle mit unterschiedlichem Erfahrungsgrad davon profitieren und opportunistische Angriffe durchführen.

„Ein Exploit macht einen Teil dieser Laufarbeit zunichte“, bemerkt sie. „Es ist realistisch möglich, dass bereits Massenscans für diese Schwachstelle durchgeführt werden.“

Hoffman fügt hinzu, dass die vertikale Privilegienausweitung mehr Raffinesse erfordert und in der Regel eher den Advanced Persistent Threat (APT)-Methoden entspricht.

DragonForce plant Umstellung auf Ransomware

In einem Video und über Social-Media-Kanäle kündigte die Hacktivistengruppe außerdem ihre Pläne für den Start an Durchführung von Massen-Ransomware-Angriffen. Forscher sagen, dass dies eher eine Ergänzung zu seinen hacktivistischen Aktivitäten als eine Abkehr sein könnte.

„DragonForce erwähnte die Durchführung weit verbreiteter Ransomware-Angriffe, bei denen der von ihnen erstellte Exploit ausgenutzt wurde“, erklärt Hoffman. „Der WannaCry-Ransomware-Angriff war ein großartiges Beispiel dafür, wie weit verbreitete Ransomware-Angriffe gleichzeitig eine Herausforderung darstellen, wenn finanzieller Gewinn das Endziel ist.“

Sie weist auch darauf hin, dass es nicht ungewöhnlich ist, diese Ankündigungen von cyberkriminellen Bedrohungsgruppen zu sehen, da dies die Aufmerksamkeit auf die Gruppe lenkt.

Aus Sicht von McGuffin ist die öffentliche Ankündigung eines Taktikwechsels jedoch „eine Kuriosität“, insbesondere für eine hacktivistische Gruppe.

„Ihre Motive liegen möglicherweise eher in der Zerstörung und Denial-of-Service und weniger in der Erzielung von Profit wie typische Ransomware-Gruppen, aber sie verwenden die Finanzierung möglicherweise, um ihre hacktivistischen Fähigkeiten oder das Bewusstsein für ihre Sache zu verbessern“, sagt er.

Ashara stimmt zu, dass der geplante Wechsel von DragonForce es wert ist, hervorgehoben zu werden, da das Motiv der Gruppe darin besteht, so viel Wirkung wie möglich zu erzielen, ihre Ideologie zu stärken und ihre Botschaft zu verbreiten.

„Daher ist die Motivation der Gruppe mit der Ankündigung von Ransomware nicht aus finanziellen Gründen, sondern um Schaden zu verursachen“, sagt er. „Wir haben in der Vergangenheit ähnliche Wiper-Malware gesehen, bei der sie Ransomware verwendet und so getan haben, als sei die Motivation finanziell, aber die eigentliche Motivation ist Schaden.“

Generative Datenintelligenz

DragonForce Malaysia veröffentlicht LPE-Exploit und bedroht Ransomware

Laut Makro-Guru Raoul Pal nähern sich Ethereum, Solana und Altcoins der „Bananenzone“ – hier ist sein Ausblick – The Daily Hodl

Bitcoin Bears riskiert einen Verlust von 7.2 Milliarden US-Dollar, wenn der BTC-Preis dieses Niveau erreicht

Neueste Intelligenz

Spot-Krypto-ETFs werden nächste Woche in Hongkong gehandelt: Bericht – The Daily Hodl

Cardano-Krise oder Comeback? Die Schlüsselkennzahl von ADA erreicht einen Tiefpunkt – was das für Anleger bedeutet

Top-Meme-Coin-Picks für den langfristigen Besitz: Dogecoin (DOGE), Shiba Inu (SHIB) und Furrever Token (FURR)

Krypto bekommt eine zweite Chance: Stripe steigt mit Stablecoins wieder in den Sektor ein

Rabbit R1-Rezensionen kündigen „herausragenden“ KI-Assistenten nach katastrophaler humaner Pin-Veröffentlichung an – Entschlüsseln

Der Grayscale Bitcoin Trust (GBTC) sieht sich mit einer anhaltenden Abflusswelle konfrontiert

Chat mit uns