BEDROHUNG
Die Cybercrime-Gruppe LAPSUS$ veröffentlichte gestohlene Daten des Sicherheitsanbieters Checkmarx. Nach Angaben des Unternehmens stammen die Informationen aus privaten GitHub-Repositories und stehen im Zusammenhang mit dem bereits bekannten Angriff vom 23. März dieses Jahres. Als wahrscheinlicher initialer Zugriffsweg gilt der Trivy-Supply-Chain-Angriff, durch den Zugangsinformationen von Nutzern entwendet worden sein könnten.
Mithilfe dieser Daten sollen Angreifer Zugriff auf Checkmarx-GitHub-Repositories erlangt und darüber bösartigen Code eingeschleust haben. Am 22. April wurden zudem erneut manipulierte Docker-Images sowie VSCode- und Open-VSX-Erweiterungen für den KICS-Sicherheitsscanner veröffentlicht, die Zugangsdaten, Schlüssel, Tokens und Konfigurationsdateien stehlen sollten. Die nun von LAPSUS$ publizierten Daten stammen laut Bleeping Computer aus einer Exfiltration vom 30. März.
Checkmarx betont, dass die betroffenen Repositories von der Kunden-Produktionsumgebung getrennt seien und dort keine Kundendaten gespeichert würden. Eine forensische Untersuchung läuft weiterhin. Der Zugriff auf die betroffenen GitHub-Repositories wurde gesperrt. Das Unternehmen hat nach eigenen Angaben Zugangsdaten rotiert, zusätzliche Schutzmaßnahmen in Entwicklungs- und Distributionsprozessen umgesetzt und Mandiant zur Unterstützung der Untersuchung hinzugezogen.
Was jetzt zu tun ist:
- KICS-Erweiterungen und Docker-Images auf kompromittierte Versionen prüfen
PRÄVENTION & DETEKTION
Cyber Threat Intelligence analysiert neueste Cyber Attacken und stellt Angriffstechniken und Angriffsmuster mit evidenzbasierten Informationen geordnet zur Verfügung. Mit den Dossiers aus der Cyber Threat Intelligence
sind wir vorbereitet auf das was wächst und gedeiht: Wir können entsprechende Gegenmaßnahmen einleiten, um
Angreifern einen Schritt voraus zu sein.
Autor: Michael Niers
