Quoint Weekly Intelligence Bulletin 39
Total Page:16
File Type:pdf, Size:1020Kb
Week 39 Weekly Intelligence Bulletin Date 28 September 2018 Reading Time 25-30 min Type Intelligence Bulletin Audience-Role Management Sub-Type Weekly Bulletin Audience-Industry Cross Industry R�������������� Period 20-09-2018 to 27-09-2018 TLP AMBER TLP: AMBER Intelligence Bullen TABLE OF CONTENTS CYBER 3 VULNERABILITIES .......................................... 3 Linux Kernel IP Fragment Reassembly Vulnerability impacting multiple Cisco Products . 3 New Exploit Variation of Recent VBScript Engine Vulnerability in theWild ............ 3 Zero Day Initiative Reports Remote Code Execution Vulnerability in Microsoft Windows Jet Database Engine ...................................... 4 THREAT ACTOR ACTIVITY ...................................... 5 COBALT: Latest campaign activity spoofing Oracle ......................... 5 REPORTED INCIDENTS ........................................ 5 The United Nations Experiences Data Incidents on Third Party Platforms ............. 5 Energy Company RWE Suffers DDoS Attack ............................ 6 ROLLUP ............................................... 7 CRYPTOCURRENCY 8 Cryptocurrency Total Market Capitalization Declines ....................... 8 German Cryptoasset Exchanges Launches First Blockchain Bank Account ............ 8 French Government Reportedly Creating Legal Framework for Cryptoasset Providers . 9 ROLLUP ............................................... 9 GEOPOLITICS 11 Deutsche Telekom and German Armed Forces Cooperate on Cyber Defense . 11 U.N. General Assembly Annual Session .............................. 11 President Trump Presents National Cyber Strategy ........................ 12 ROLLUP ............................................... 12 OUTLOOK 14 Macedonia Holds Referendum on Name Change ......................... 14 About this Intelligence Product 15 CONTACTS 17 Information Consumer Industry: Energy Financials Technology Discretionary Government QuoINT Arcle Type: Spotlight investigation Republic of United Locaons: Syria Germany Macedonia Kingdom Europe USA China Senment Negative Positive (crypto only): Development Development Companies: microsoft bitwala UnitedNations cisco RWE Telekom 2|Page QuoScient- Intelligence Operations (Quoint)- [email protected] TLP: AMBER Intelligence Bullen SUMMARY CYBER Vulnerabilities Industry Impacted: Information Technology, ANY On 24 September, Cisco released an updated security advisory as they continue to investigate their products using the affected Linux Kernel Version to determine and mitigate susceptibility toa Denial-of-Service (DoS) vulnerability known as FragmentSmack. Based on Microsoft’s latest Patch Tuesday release, Linux based products are not exclusively affected by FragmentStack. Microsoft states that various Windows systems are affected, including servers. Researchers identified a new variation of earlier exploit code targeting a previously patched remote code execution vulnerability existing in the Internet Explorer(IE) VBScript Engine. The variant code is being used at least in one campaign ongoing since at least July 2018, distributing the final payload of Quasar- a Remote Administration Tool (RAT). A security researcher publicly disclosed an unpatched zero-day vulnerability existing in the Mi- crosoft JET (Joint Engine Technology) Database Engine, affecting at least the Windows 7operating system. In accordance with the Zero Day Initiative (ZDI) 120 day deadline, this vulnerability was disclosed publicly without a patch. Threat Actor Activity Industry Impacted: Financials On, 25 September, QuoINT detected a new Cobalt spear-phishing attack imitating Oracle. Reported Incidents Industry Impacted: Energy, Government A security researcher discovered sensitive internal documents and technical details for websites of the United Nations (U.N.) accessible online due to misconfigurations in the U.N’s. project management service Trello, issue ticketing tool Jira and office suite Google Docs. Separately, another researcher found both a path disclosure and information disclosure vulnerability in The United Nations WordPress site that exposed CV’s of thousands of job applicants since 2016. The website for the German energy company RWE reportedly suffered a Distributed Denial of Service (DDoS) attack earlier this week that caused the site to be ”sometimes difficult orsome- times not reachable in some places”. The attack is reportedly due to the company’s involvement in the deforestation efforts in west Cologne in order to continue mining lignite. CRYPTOCURRENCY The German cryptoasset exchange Bitwala announced it completed their latest funding round to launch a fully regulated bank account based on the blockchain. The French National Assembly will reportedly discuss an amendment to the French legislation to regulate all service providers in the cryptoasset industry. The total crypto asset market capitalization decreased by 1.6 percent in the previous weekto EUR 184 billion. GEOPOLITICS Deutsche Telekom announced a cooperation with the German Armed Forces (Bundeswehr) on cyber defense. The conflict between the U.S. and Iran was one of the dominating issues during the annual U.N. General Assembly session. The U.S. administration released its National Cyber Strategy in which it outlines priority actions to protect U.S. citizens. OUTLOOK 30 September- Macedonia Holds Referendum on Name Change 1|Page QuoScient- Intelligence Operations (Quoint)- [email protected] TLP: AMBER Intelligence Bullen ZUSAMMENFASSUNG CYBER Schwachstellen Industry Impacted: Information Technology, ANY Am 24. September hat Cisco eine aktualisierte Sicherheitsempfehlung veröffentlicht, da sie weiterhin ihre Produkte mir der betroffenen Linux Kernel Version untersuchen, um die Anfälligkeit für eine Denial-of-Service Schwachstelle, bekannt als FragmentSmack, zu finden und zu mindern. Basierend auf Microsofts letztem Patch Tuesday sind nicht ausschließlich Linux-basierte Produkte von FragmentSmack betroffen. Microsoft hat angegeben, dass verschiedene Microsoft Systeme, einschließlich Server, auch betroffen sind. Sicherheitsforscher haben eine neue Variante von früherem Exploit-Code identifiziert, die auf eine zuvor gepatchte Sicherheitslücke bei der Ausführung von Remote-Code abzielt, die in der Internet Explorer(IE) VBScript Engine vorhanden ist. Der Schadcode wird mindestens in einer seit mindestens Juli 2018 laufenden Kampagne verwendet, die die endgültige Schadsoftware von Quasar- ein Remote-Access-Trojan- verteilt. Ein Sicherheitsforscher veröffentlichte eine ungepatchte Zero-Day-Schwachstelle, die in der Microsoft JET (Joint Engine Technology) Database Engine existiert und mindestens das Betrieb- ssystem Windows 7 betrifft. Gemäß der 120-tägigen Frist der Zero Day Initiative (ZDI) wurde diese Schwachstelle ohne Patch öffentlich bekannt gegeben. Cyber Tätergruppen Aktivität Industry Impacted: Financials Am 25. September hat QuoInt einen neuen Spear-Phishing Angriff von Cobalt entdeckt, der Oracle imitiert. Schadenmeldungen Industry Impacted: Energy, Government Ein Sicherheitsforscher entdeckte sensible interne Dokumente und technische Details für Web- sites der Vereinten Nationen (UN), die online zugänglich sind, aufgrund von Fehlkonfigurationen im Projektmanagementdienst Trello der UNO, dem Issue-Ticketing-Tool Jira und der Office-Suite Google Docs. Zusätzlich fand ein anderer Forscher sowohl eine Schwachstelle bei der Offenlegung von Dateipfaden als auch Informationen auf der WordPress-Seite der Vereinten Nationen, die seit 2016 Lebensläufe von Tausenden von Bewerbern enthüllte. Die Website des deutschen Energiekonzerns RWE soll Anfang dieser Woche einen Angriff auf Distributed Denial of Service (DDoS) erlitten haben, der dazu führte, dass die Website ”manchmal schwierig oder manchmal an einigen Stellen nicht erreichbar” war. Der Angriff ist angeblich auf die Beteiligung des Unternehmens an den Rodungen im Kölner Westen zurückzuführen, um den Braunkohleabbau fortzusetzen. KRYPTOWÄHRUNGEN Die deutsche Kryptoassetbörse Bitwala gab bekannt, dass sie ihre letzte Finanzierungsrunde zur Eröffnung eines vollständig regulierten Bankkontos auf Basis der Blockchain abgeschlossen hat. Die französische Nationalversammlung wird Berichten zufolge eine Änderung der französischen Gesetzgebung zur Regulierung aller Dienstleister in der Kryptoasset-Industrie diskutieren. Die Gesamtmarktkapitalisierung für Kryptoanlagen sank in der Vorwoche um 1,6 Prozent auf 184 Milliarden Euro. GEOPOLITIK Die Deutsche Telekom kündigte eine Kooperation mit der Bundeswehr in Sachen Cyberabwehr an. Der Konflikt zwischen den USA und dem Iran war eines der vorherrschenden Themen während der jährlichen Sitzung der UN-Generalversammlung. Die US-Regierung hat ihre National Cyber Strategy veröffentlicht, in der sie vorrangige Maßnahmen zum Schutz der US-Bürger vorgibt. 2|Page QuoScient- Intelligence Operations (Quoint)- [email protected] TLP: AMBER Intelligence Bullen CYBER VULNERABILITIES Linux Kernel IP Fragment Reassembly Vulnerability impacting multiple Cisco Products Attack Vector: DDoS | Industry Impacted: Information Technology, ANY On 24 September, Cisco released an updated security advisory1 as they continue to investigate their products using the affected Linux Kernel Version 3.9 and later, to determine and mitigate susceptibility to a Denial-of-Service (DoS) vulnerability (CVE-2018-5391) known as FragmentSmack. The inital vulner- ability disclosure from CERT Coordination Center 2 on 14 August states the issue is in the IP stack used by the Linux Kernel. To exploit, an unauthenticated, remote attacker would need to send