Malware April 2024: Aufstieg des Multi-Plattform-Trojaners „Androxgh0st“
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland ist CloudEye für jeden fünften Malware-Vorfall verantwortlich.
Androxgh0st wird als Werkzeug für den Diebstahl sensibler Informationen über Botnets eingesetzt. Unter Ausnutzung von Schwachstellen wie CVE-2021-3129 und CVE-2024-1709 setzen die Angreifer Web-Shells zur Fernsteuerung ein und konzentrieren sich auf den Aufbau von Botnetzen zum Diebstahl von Anmeldeinformationen. Dies wurde in einem gemeinsamen Cybersecurity Advisory (CSA) des FBI und der CISA festgestellt. Androxgh0st-Akteure haben eine Vorliebe für die Ausnutzung von Schwachstellen in Laravel-Anwendungen gezeigt, um Anmeldedaten für Cloud-basierte Dienste wie AWS, SendGrid und Twilio zu erbeuten. Jüngste Anzeichen deuten darauf hin, dass sich der Schwerpunkt auf den Aufbau von Botnets zur Ausnutzung breiterer Systeme verlagert.
LockBit3 musste mehrere Rückschläge hinnehmen
Der Global Threat Index von Check Point hebt unterdessen Erkenntnisse von „Shame Sites“ hervor, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen, um nicht zahlende Ziele unter Druck zu setzen. 8Base, das wieder in die Top 3 aufgestiegen ist, behauptete vor kurzem, in die IT-Systeme der Vereinten Nationen eingedrungen zu sein und Informationen über die Personalabteilung und das Beschaffungswesen exfiltriert zu haben. Obwohl LockBit3 weiterhin an erster Stelle steht, musste die Gruppe mehrere Rückschläge hinnehmen. Im Februar wurde die Datenleck-Website im Rahmen einer behördenübergreifenden Kampagnemit dem Namen Operation Cronos beschlagnahmt, und in diesem Monat veröffentlichten dieselben internationalen Strafverfolgungsbehörden neue Details, in denen sie 194 Mitgliedsorganisationen identifizierten, die LockBit3 nutzen, sowie die Demaskierung und Sanktionierung des Anführers der Gruppe.
„Unsere Untersuchungen haben gezeigt, dass die gemeinsamen internationalen Bemühungen gegen LockBit3 offenbar erfolgreich waren und den weltweiten Einfluss der Gruppe seit Anfang 2024 um mehr als 50 Prozent reduziert haben“, bemerkt Maya Horowitz, VP of Research bei Check Point Software.
Top-Malware in Deutschland
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat. Die Zahlen in Klammern bezeichnen den Anteil der jeweiligen Malware an den insgesamt beobachteten.
↑ CloudEyE (18,58 %)
CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
↑ Nanocore (3,63 %)
NanoCore ist ein Fernzugriffs-Trojaner, der auf Benutzer von Windows-Betriebssystemen abzielt und erstmals 2013 in freier Wildbahn beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen wie Bildschirmaufnahmen, Kryptowährungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
↔ FakeUpdates (3,13 %)
Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Meist ausgenutzte Schwachstellen
Im vergangenen Monat waren die am häufigsten ausgenutzten Schwachstellen weltweit „Command Injection Over http“ und „Web Servers Malicious URL Directory Traversal“, von denen 52 Prozent der Unternehmen betroffen waren. Es folgten „HTTP Headers Remote Code Execution“ mit einem weltweiten Anteil von 45 Prozent.
↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Es wurde eine Schwachstelle für Command Injection Over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)
Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
↑ HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375)
HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Top 3 Mobile Malware
Im letzten Monat stand Anubis an erster Stelle der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.
↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
↔ AhMyth
AhMyth ist ein Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.
↑ Hiddad
Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.
Top 3 der angegriffenen Branchen in Deutschland
↔ Bildung und Forschung
↔ Gesundheitswesen
↔ Kommunikation
Aktivste Ransomware-Gruppen
Dieser Abschnitt enthält Informationen, die von Ransomware Shame Sites stammen. Sie werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen über die Opfer zu veröffentlichen. Die Daten von diesen Shame-Sites sind zwar mit Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem.
Lockbit3
LockBit ist eine Ransomware, die in einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten. Obwohl es im Februar 2024 aufgrund von Strafverfolgungsmaßnahmen zu erheblichen Ausfällen kam, hat Lockbit wieder Informationen über seine Opfer veröffentlicht.
Play
Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen, wobei bis Oktober 2023 etwa 300 Einrichtungen betroffen waren. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie Techniken wie die Verwendung von LOLBins (living-off-the-land binaries) für Aufgaben wie die Exfiltration von Daten und den Diebstahl von Anmeldeinformationen.
8Base
Die 8Base-Bedrohungsgruppe ist eine Ransomware-Bande, die mindestens seit März 2022 aktiv ist. Sie erlangte Mitte 2023 aufgrund einer bemerkenswerten Zunahme ihrer Aktivitäten große Bekanntheit. Diese Gruppe wurde bei der Verwendung einer Vielzahl von Ransomware-Varianten beobachtet, wobei Phobos ein gemeinsames Element ist. 8Base operiert mit einem hohen Maß an Raffinesse, was sich in der Verwendung fortschrittlicher Techniken in ihrer Ransomware zeigt. Zu den Methoden der Gruppe gehören doppelte Erpressungstaktiken.