Budworm-Hacker nehmen US-Organisationen mit neuen Spionageangriffen ins Visier
Die berüchtigte Cyberspionage-Gruppe Budworm hat gezielte Angriffe auf eine Reihe hochrangiger Ziele gestartet, darunter ein US-Bundesparlament, ein Land im Nahen Osten und ein multinationaler Elektronikhersteller.
Der Angriff auf die nicht näher benannten US-Bundesstaaten ist das erste Mal seit mehreren Jahren, dass Budworm eine in den USA ansässige Organisation angreift.
Nach Angaben des Symantec Threat Hunter-Teams nutzte die Budworm-Bande die Log4j-Schwachstellen (CVE-2021-44228 und CVE-2021-45105) aus. Die ausgenutzten Schwachstellen wurden dazu verwendet, den Apache Tomcat-Dienst auf Servern zu kompromittieren, um Web-Shells zu installieren. Die Angreifer nutzten Virtual Private Servers (VPS), die bei Vultr und Telstra gehostet wurden, als Command-and-Control-Server (C&C).
"Die Hauptnutzlast von Budworm ist nach wie vor die HyperBro-Malware-Familie, die häufig mit einer Technik geladen wird, die als DLL-Side-Loading (Dynamic-Link-Library) bekannt ist. Dabei platzieren die Angreifer eine bösartige DLL in einem Verzeichnis, in dem eigentlich eine legitime DLL zu finden sein sollte. Der Angreifer führt dann die legitime Anwendung aus (nachdem er sie selbst installiert hat). Die legitime Anwendung lädt dann die Nutzlast und führt sie aus", heißt es in dem Bericht.
Bei den jüngsten Angriffen verwendete Budworm die Endpunkt-Rechteverwaltungssoftware CyberArk Viewfinity, um das Side-Loading durchzuführen. Die Binärdatei hat den Standardnamen vf_host.exe und wird normalerweise von den Angreifern zurückgelassen, um sich als harmlosere Datei zu tarnen.
Obwohl die Angreifer den PlugX/Korplug-Trojaner als Nutzlast verwenden, werden bei den Angriffen auch andere Tools wie Cobalt Strike, LaZagne, IOX, Fast Reverse Proxy (FRP) und Fscan eingesetzt.
Cobalt Strike ist ein handelsübliches Tool, mit dem Shellcode auf die Rechner der Opfer geladen werden kann. Obwohl es sich um ein legitimes Tool für Penetrationstests handelt, kann es von Bedrohungsakteuren ausgenutzt werden. LaZagne ist ein öffentlich zugängliches Tool zum Auslesen von Anmeldeinformationen. IOX ist ein öffentlich zugängliches Proxy- und Portweiterleitungs-Tool. Fast Reverse Proxy (FRP) ist ein Reverse-Proxy-Tool, während Fscan ein öffentlich zugängliches Intranet-Scan-Tool ist.
Angemessene Sicherheitsmaßnahmen sind unerlässlich, um Angriffe zu entschärfen. Die Unternehmen müssen die neuesten Patches verwenden und auf ihren Servern installieren. Außerdem ist es wichtig, dass Unternehmen regelmäßig Pen-Tests durchführen, um ausnutzbare Schwachstellen in ihrem Unternehmen aufzuspüren, da dies Angreifern einen ersten Zugang zu jedem Unternehmen ermöglichen kann.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.