Purple Fox: Malware verbreitet sich über Exploits, Phishing und Brute-Force-Passwortangriffe

dp — Thu, 25 Mar 2021 20:16:00 +0000

Guardicore veröffentlicht neue Sicherheitsanalyse über Malware-Kampagne „Purple Fox“

{datensicherheit.de, 25.03.2021] Guardicore hat nach eigenen Angaben eine neue Sicherheitsanalyse über die Malware-Kampagne „Purple Fox“ veröffentlicht. Dieses Schadprogramm infiziert demnach anfällige „Windows“-Systeme durch Exploit- oder Phishing-Attacken. Sicherheitsexperten von Guardicore Labs hätten jetzt einen weiteren Angriffsvektor dieser Malware erkannt, „bei dem auch SMB-Passwörter von ,Windows‘-Systemen per Brute-Force-Angriff geknackt werden“.

Bereits 2.000 mit Malware kompromittierte Server

Die Malware „Purple Fox“ nutzt ein Rootkit, um erfolgreiche Infektionen auf den betroffenen IT-Systemen zu verbergen und ein Entfernen des Schadprogramms zu erschweren. Mittlerweile gebe es ein Netzwerk von rund 2.000 kompromittierten Servern, mit denen die unbekannten Angreifer schädliche „Payloads und Dropper“ verteilten. Im wesentlichen handele es sich dabei um Webserver mit „Microsoft Internet Information Services (IIS) 7.5“.

600 Prozent mehr Malware-Attacken

Im März 2018 sei „Purple Fox“ vom Guardicore Global Sensors Network (GGSN) erstmals erkannt worden. Das GGSN sei ein weltweites Netzwerk von Erkennungssensoren, welche in Rechenzentren und Cloud-Umgebungen auf der ganzen Welt eingesetzt würden und in der Lage seien, Angriffsströme vollständig zu erfassen und auszuwerten. Ende 2020 habe Guardicore den Versuch der „Purple-Fox“-Entwickler verzeichnet, nach anfälligen SMB-Diensten (Server Message Block) und schwachen Passwörtern oder Hash-Verfahren zu scannen – die Folge: „Seit Mai 2020 ist die Zahl der Infektionen um circa 600 Prozent auf insgesamt 90.000 Attacken gestiegen.“

Ausführung Malware-Payload über anfälligen Netzwerkdienst oder Phishing-Angriff

Guardicore Sicherheitsanalyse zeige, dass die Wurm-Payload entweder über einen anfälligen Netzwerkdienst oder einen Phishing-Angriff auf eine Browser-Schwachstelle ausgeführt werde. „Purple Fox“ tarne sich als „Windows“-Update-Paket und umgehe statische Signatur-Erkennungsmethoden. Im Verlauf des Installationsprozesses auf kompromittierten Rechnern ändere die Malware die „Windows“-Firewall-Regeln, um mehrere Befehle, Port-Scans und Vorbereitungen für weitere Angriffe steuern zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 17.12.2020]
PLEASE_READ_ME: Automatisierter Ransomware-Befall auf MySQL-Servern

Guardicore, Amit Serper
Purple Fox Rootkit Now Propagates as a Worm

Guardicore Labs: Smominru-Botnetz ist zurück

dp — Wed, 25 Sep 2019 20:27:18 +0000

Neue Angriffswelle breitet sich weltweit aus

[datensicherheit.de, 25.09.2019] Guardicore meldet, dass das „Smominru“-Botnetz ein „unrühmliches Comeback“ feiert und aktuell 4.700 Rechner pro Tag infiziert. „Smominru” dient demnach dazu, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke beträfen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cyber-Sicherheitsanbieter seien betroffen.

Im August 2019 mehr als 4.900 Unternehmensnetze infiziert

Guardicore warnt vor einer neuen Angriffswelle durch die „Smominru“-Malware, die allein im August 2019 mehr als 4.900 Unternehmensnetze infiziert habe. Das „Smominru“-Botnetz sei bereits seit 2017 aktiv, aber breite sich aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen.
Dieses weltweite Botnetz kompromittiere „Windows“-Rechner vor allem über den „EternalBlue“-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet worden sei. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, habe sie unter anderem im Rahmen der „WannaCry“-Ransomware-Attacke 2016 großflächige Schäden angerichtet. Von den aktuellen „Smominru“-Attacken seien insbesondere China, Taiwan, Russland, Brasilien und die USA betroffen.

Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle

Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben „Zugriff auf einen der angreifenden Hauptserver verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen“.
Neben dem „EternalBlue“-Exploit nutzten die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle wie „MS-SQL“, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens „blueps.txt“ auf den betroffenen Rechner geladen, das mehrere Maßnahmen durchführe.

3 Binärdateien heruntergeladen

Im ersten Schritt würden drei Binärdateien heruntergeladen und ausgeführt, um ein administratives Benutzerkonto namens „admin$“ auf dem IT-System neu zu erstellen.
Nach dem Download zusätzlicher Skripte führten die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installierten mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.