Neuartige Backdoor öffnet Windows-Systeme über installiertes PHP

Sicherheitsforscher haben eine bisher unbekannte Backdoor-Malware entdeckt. Diese nutzt eine Sicherheitslücke in der Skriptsprache PHP aus, die besonders innerhalb einiger Windows-Installationen ihre Wirkung entfalten kann.
Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, anti-malware, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Malware Warnung, Totenkopf, Sicherheitsproblem, Cyberattacke, tot, Dead, Malware Found, Hazard, Skull

Asien-Versionen besonders betroffen

Gefunden und analysiert wurde die Backdoor von Experten des Security-Dienstleisters Symantec. Diese fanden den Schadcode bei der Aufarbeitung eines Angriffs auf eine Universität in Taiwan. Nach ihren Angaben nutzten die Angreifer hier eine Schwachstelle in PHP aus, die unter der Kennung CVE-2024-4577 bekannt ist und für die es auch schon einen Patch gibt.

Diese Sicherheitslücke betrifft hauptsächlich Windows-Installationen, die in chinesischer und japanischer Sprache betrieben werden. Ihre Ausnutzung könnte laut Symantec zur Ausführung von beliebigem Code auf den betroffenen Systemen führen. In den letzten Wochen haben die Forscher vermehrt Aktivitäten von verschiedenen Bedrohungsakteuren beobachtet, die nach anfälligen Systemen suchen.


"Bisher haben wir keine Beweise gefunden, die eine eindeutige Zuordnung dieser Bedrohung ermöglichen, und die Motive hinter dem Angriff bleiben weiterhin unbekannt", erklärten die Forscher. Da hier aber ein wertvolles Ziel in Taiwan attackiert wurde, liegt der Verdacht nahe, dass der Ursprung der Malware in China zu suchen sein könnte.

Tarnung per DNS-Tunneling

Bereits im Juni dieses Jahres entdeckten Sicherheitsforscher eine Kampagne, die von mutmaßlich staatlich geförderten Hackern aus China, bekannt unter dem Namen "RedJuliett", durchgeführt wurde. Diese Gruppe zielte auf Dutzende Organisationen in Taiwan ab, darunter Universitäten, staatliche Einrichtungen, Elektronikhersteller und religiöse Organisationen. Wie viele andere chinesische Bedrohungsakteure nutzte die Gruppe vermutlich Schwachstellen in Geräten wie Firewalls und Unternehmens-VPNs aus, da diese oft nur eingeschränkte Überwachungsmöglichkeiten bieten und anfällig für Angriffe sind.

Besonders bemerkenswert an der aktuellen Malware, die von den Forschern "Msupedge" getauft wurde, ist die Verwendung einer speziellen Technik namens DNS-Tunneling zur Kommunikation mit einem vom Angreifer kontrollierten Server. Im Gegensatz zu den weitverbreiteten Methoden wie HTTP- oder HTTPS-Tunneling ist DNS-Tunneling schwerer zu erkennen, da DNS-Verkehr im Allgemeinen als unbedenklich gilt und von vielen Sicherheitstools übersehen wird.

Zusammenfassung
  • Neue Backdoor-Malware nutzt PHP-Sicherheitslücke CVE-2024-4577 aus
  • Symantec entdeckte Schadcode bei Analyse eines Angriffs auf taiwanische Uni
  • Betroffen sind vor allem Windows-Systeme in chinesischer und japanischer Sprache
  • Angriffsmotive und Ursprung der Malware bleiben unklar, Verdacht auf China
  • RedJuliett-Gruppe aus China zielte auf Organisationen in Taiwan ab
  • Malware "Msupedge" verwendet DNS-Tunneling für schwer erkennbare Kommunikation

Siehe auch:
Thema:
Viren & Trojaner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!