Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
20.07.23, 17:05
|
#1
|
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Schwarzwald
Beiträge: 2.884
Bedankt: 3.267
|
Bedrohung aus Russland: Hacker nutzen Exchange-Server als Malware-Steuerzentrale
Zitat:
Bedrohung aus Russland: Hacker nutzen Exchange-Server als Malware-Steuerzentrale
Microsoft hat Hacker dabei beobachtet, wie sie Exchange-Server unter anderem für die Steuerung einer Malware missbraucht haben.
Sicherheitsforscher von Microsoft haben in Zusammenarbeit mit dem ukrainischen Computer-Emergency-Response-Team (Cert-UA) eine neuartige Backdoor namens Deliverycheck entdeckt, die kriminelle Akteure derzeit aktiv einsetzen, um den Verteidigungssektor in der Ukraine und in Osteuropa anzugreifen. Die in .NET geschriebene Schadsoftware kommt einem Twitter-Thread von Microsoft Threat Intelligence zufolge über mit bösartigen Makros versehene und per E-Mail übermittelte Dokumente auf die jeweiligen Zielsysteme.
Weitere Anweisungen erhalte Deliverycheck von einem Command-and-Control-Server (C2), zu dem die Malware nach ihrem Start eine Verbindung herstellt. Persistenz erreiche sie durch die Erstellung einer geplanten Aufgabe auf dem Zielsystem, während zusätzlicher Schadcode in einem XSLT-Stylesheet eingebettet sein soll. Um sensible Daten von infiltrierten Rechnern zu exportieren, setzen die Hacker auf Tools wie rclone oder die Kazuar-Backdoor. Darüber hinaus sollen die böswilligen Akteure über Deliverycheck auch auf private Nachrichten, Dokumente und Bilder aus Messenger-Apps wie Signal Desktop zugreifen können.
Weiterhin habe Microsoft beobachtet, wie die Angreifer Exchange-Server infiltriert und diese über ein spezielles Powershell-Skript in einen Kontrollserver zur Steuerung ihrer Malware verwandelt haben. Dafür nutzten sie eine Komponente namens Desired State Configuration (DSC), mit der Administratoren unter anderem standardisierte Serverkonfigurationen erstellen, um sie auf verschiedene Systeme anzuwenden.
Die Spuren führen nach Russland
Einem Bericht von Bleeping Computer zufolge soll eine vom russischen Staat gesponserte Hackergruppe namens Turla hinter den Angriffen stecken – ebenfalls bekannt als Secret Blizzard, Krypton oder UAC-0003. Schon in der Vergangenheit soll die Gruppe wiederholt mit Angriffen auf westliche Ziele in Verbindung gebracht worden sein.
Bei Deliverycheck handelt es sich demnach um ein Spionagewerkzeug, das die Angreifer auf Zielsystemen Skripte ausführen und Protokolldaten, Systemdateien, Authentifizierungstoken, Cookies sowie Anmeldeinformationen aus einer Vielzahl von Programmen stehlen lässt. Von den 70 Sicherheitstools, mit denen Virustotal hochgeladene Dateien auf potenziellen Schadcode überprüft, erkennen bisher erst 20 Deliverycheck als Malware.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
|
Die folgenden 2 Mitglieder haben sich bei ziesell bedankt:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:52 Uhr.
().
|
Linear-Darstellung
