Die Kampagne der Cyberkriminellen richtet sich gegen Regierungseinrichtungen und Verkehrsunternehmen auf der ganzen Welt. Die Angriffe starten stets in Russland oder der Ukraine. Und am häufigsten werden Organisationen in Großbritannien, Indien, Kanada und USA angegriffen.
Die Kriminellen nutzen für die Angriffe eine Malware namens Mevade. Diese nutzt den Anonymisierungsdients Tor für die Befehlsinfrastruktur nutzt. Daher ist diese Malware auch schwer zu entdecken und zu verfolgen. Laut Websense soll die Angriffswelle um den 23. Juli herum begonnen zu haben.
“Diese Kampagne hat hunderte Firmen und tausende Computer weltweit infiziert”, heißt es im Blog von Websense. “Sie scheint für eine Reihe Zwecke genutzt zu werden, darunter Umleitung von Traffic und Klickbetrug, aber auch Entführung von Suchanfragen.”
Einen Tarnungsversuch unternimmt die Malware auch auf Host-Rechnern. Unter anderem überprüft sie, ob das von Sicherheitsforschern gern genutzte Tool Sandboxie installiert ist. Außerdem fragt sie ab, ob Oracle VirtualBox läuft – offenbar um zu ermitteln, ob sie sich in einer virtualisierten Umgebung mit eingeschränkten Rechten befindet.
Websense hat zudem herausgefunden, dass die Angreifer mit Mevade direkt auf dem Host und im fremden Netz Befehle ausführen können. Dafür enthält der Schadcode eine einfache Proxy-Lösung namens 3proxy. “In solchen Fällen wird der Proxy als Reverse Proxy konfiguriert. Er hat die Fähigkeit, einen Tunnel durch Netzumgebungen mit NAT anzulegen, um eine Verbindung zur Infrastruktur der Angreifer herzustellen (in diesem Fall mit Einsatz von SSL über Port 443)”, heißt es.
Aus dieser Vorgehensweise lasse sich schließen, dass die Cyberkriminellen es vorziehen, Netzwerke von Hand zu scannen und sich schrittweise kritischen Apps und Daten anzunähern, heißt es bei Websense. Neben Datenbanken befänden sich wohl auch Quelltexte und Dokumentenverzeichnisse im Visier der Angreifer aus Russland.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
