China-Hacker greifen mit neuem Toolkit Kommunikationsnetze an
Sicherheitsforscher sind einem Angreifer auf der Spur, der seit 2024 gezielt Telekommunikationsanbieter attackiert. Dabei macht sich dieser ein neues Malware-Paket zu nutze, mit dem Windows-, Linux- und Netzwerkgeräte kompromittiert werden können.
Nach Einschätzung der Experten steht die Gruppe mit bekannten chinesischen Hackerorganisationen wie FamousSparrow und Tropic Trooper in Verbindung, wird jedoch als eigenständiger Angreifercluster geführt. Die Zuordnung basiert laut eines aktuellen Berichts auf ähnlichen Werkzeugen, Angriffsmethoden und Zielprofilen.
In ihren Untersuchungen identifizierten die Forscher drei bislang unbekannte Malware-Familien: TernDoor, PeerTime und BruteEntry. TernDoor ist eine Hintertür für Windows-Systeme. Sie wird über sogenanntes DLL-Side-Loading eingeschleust: Eine legitime Programmdatei lädt dabei unbemerkt eine manipulierte Bibliothek, die anschließend Schadcode ausführt. Der Code wird im Arbeitsspeicher gestartet und in einen laufenden Prozess eingeschleust. Die Malware kann anschließend Befehle aus der Ferne ausführen, Dateien lesen oder schreiben, Prozesse starten sowie Systeminformationen sammeln. Um dauerhaft auf dem kompromittierten Rechner zu bleiben, manipuliert TernDoor geplante Windows-Aufgaben und Einträge in der Registry.
Das dritte Werkzeug, BruteEntry, dient dazu, kompromittierte Systeme zu sogenannten "Operational Relay Boxes" auszubauen, also zu Knotenpunkten für weitere Angriffe. Die Software durchsucht Netzwerke automatisiert nach neuen Zielen und versucht anschließend, Zugangsdaten für Dienste wie SSH, PostgreSQL oder Apache Tomcat per Brute-Force-Angriff zu erraten.
Die Ergebnisse der Login-Versuche werden anschließend an die Kontrollserver der Angreifer übermittelt. Laut Cisco Talos enthält der veröffentlichte technische Bericht auch zahlreiche Indikatoren für eine Kompromittierung, die Unternehmen nutzen können, um die Angriffe frühzeitig zu erkennen und abzuwehren.
Siehe auch:
Wirkt gegen viele Plattformen
Bei den Angriffen geht es darum, dauerhaft Zugriff auf die Infrastruktur der betroffenen Unternehmen zu erhalten. Das Ziel sind hauptsächlich Telekommunikationsunternehmen aus Südamerika. Zu diesem Ergebnis kommen Analysten von Cisco Talos, der Sicherheitsforschungsabteilung des Netzwerkausrüsters Cisco.Nach Einschätzung der Experten steht die Gruppe mit bekannten chinesischen Hackerorganisationen wie FamousSparrow und Tropic Trooper in Verbindung, wird jedoch als eigenständiger Angreifercluster geführt. Die Zuordnung basiert laut eines aktuellen Berichts auf ähnlichen Werkzeugen, Angriffsmethoden und Zielprofilen.
In ihren Untersuchungen identifizierten die Forscher drei bislang unbekannte Malware-Familien: TernDoor, PeerTime und BruteEntry. TernDoor ist eine Hintertür für Windows-Systeme. Sie wird über sogenanntes DLL-Side-Loading eingeschleust: Eine legitime Programmdatei lädt dabei unbemerkt eine manipulierte Bibliothek, die anschließend Schadcode ausführt. Der Code wird im Arbeitsspeicher gestartet und in einen laufenden Prozess eingeschleust. Die Malware kann anschließend Befehle aus der Ferne ausführen, Dateien lesen oder schreiben, Prozesse starten sowie Systeminformationen sammeln. Um dauerhaft auf dem kompromittierten Rechner zu bleiben, manipuliert TernDoor geplante Windows-Aufgaben und Einträge in der Registry.
ARM, MIPS und PowerPC im Visier
Die zweite Schadsoftware, PeerTime, richtet sich gegen Linux-Systeme und ist für mehrere Prozessorarchitekturen entwickelt worden - darunter ARM, MIPS und PowerPC. Diese breite Unterstützung deutet darauf hin, dass vor allem eingebettete Geräte und Netzwerkhardware in Telekommunikationsumgebungen angegriffen werden sollen. Auffällig ist außerdem, dass PeerTime das BitTorrent-Protokoll nutzt, um Befehle und weitere Schadsoftware zwischen infizierten Geräten auszutauschen. Teile des Programmcodes enthalten Debug-Strings in vereinfachtem Chinesisch, was als Hinweis auf den möglichen Ursprung gilt.Das dritte Werkzeug, BruteEntry, dient dazu, kompromittierte Systeme zu sogenannten "Operational Relay Boxes" auszubauen, also zu Knotenpunkten für weitere Angriffe. Die Software durchsucht Netzwerke automatisiert nach neuen Zielen und versucht anschließend, Zugangsdaten für Dienste wie SSH, PostgreSQL oder Apache Tomcat per Brute-Force-Angriff zu erraten.
Die Ergebnisse der Login-Versuche werden anschließend an die Kontrollserver der Angreifer übermittelt. Laut Cisco Talos enthält der veröffentlichte technische Bericht auch zahlreiche Indikatoren für eine Kompromittierung, die Unternehmen nutzen können, um die Angriffe frühzeitig zu erkennen und abzuwehren.
Zusammenfassung
- Chinesische Hacker attackieren seit 2024 gezielt Telekommunikationsnetze
- Drei neue Malware-Familien: TernDoor, PeerTime und BruteEntry entdeckt
- TernDoor schleust sich über DLL-Side-Loading in Windows-Systeme ein
- PeerTime zielt auf Linux-Geräte mit ARM-, MIPS- und PowerPC-Architektur
- BruteEntry baut kompromittierte Systeme zu Angriffsknotenpunkten aus
- Südamerikanische Telekommunikationsunternehmen sind die Hauptziele
- Cisco Talos veröffentlicht Indikatoren zur Erkennung der Angriffe
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen