Shamoon 2 Malware

Ernsthafte Bedrohung für VDI-Infrastrukturen

| Redakteur: Peter Schmitz

Palo Alto Networks hat eine zweite, gefährliche Welle von „Shamoon 2“-Angriffen entdeckt. Der Angriff überschreibt Daten und macht Systeme unbenutzbar.
Palo Alto Networks hat eine zweite, gefährliche Welle von „Shamoon 2“-Angriffen entdeckt. Der Angriff überschreibt Daten und macht Systeme unbenutzbar. (Bild: Palo Alto Networks)

Das Anti-Malware Team von Palo Alto Networks, Unit 42, hat eine schwerwiegende Angriffswelle der Shamoon-Kampagne entdeckt. Diese Wiper-Angriffe sind so konfiguriert, dass zu konkreten Terminen Systeme und Daten zerstört werden. Beim jüngste Angriff wurde zudem eine der primären Gegenmaßnahmen, die gegen Wiper-Angriffe eingesetzt wurden, erfolgreich unterlaufen: Virtual Desktop Interface Snapshots.

Im November 2016 hatte Palo Alto Networks bereits gefährliche Wiper-Angriffe im Zusammenhang mit der ursprünglichen Shamoon-Kampagne aus 2012 beobachtet. Die neuen Ausführungen der Attacken, die Sicherheitsvorkehrungen austricksen, machen diesen Cyberangriff zu einer potenziell ersthaften Bedrohung für Unternehmen weltweit.

Die Akteure setzten die Disttrack-Nutzlast ein, um auf Systeme im lokalen Netzwerk zuzugreifen. Besonders auffällig war an diesem Sample, dass legitime Anmeldeinformationen verwendet wurden. Diese umfassten mehrere Benutzernamen und Passwörter aus der offiziellen Huawei-Dokumentation für Virtual-Desktop-Infrastruktur (VDI)-Lösungen, wie FusionCloud. Diese legitimen Anmeldeinformationen waren spezifisch für das Angriffsziel und so komplex, dass die Bedrohungsakteure einen vorherigen Angriff durchgeführt haben müssen, um an die Anmeldeinformationen zu kommen. Die gefundenen hartcodierten Anmeldeinformationen deuten darauf hin, dass die Angreifer Zugang zu Appliances haben mussten, auf denen die Infrastruktur gehostet wird. Der Disttrack Wiper wurde so eingestellt, um mit dem Überschreiben der Systeme an einem konkreten Datum zu beginnen. Dies passt mit der Taktik der Shamoon-Akteure zusammen. So sollte die Auswirkung maximiert werden, indem der Angriff zu einem Zeitpunkt erfolgt, zu dem das Unternehmen weniger Personal und Ressourcen vor Ort im Einsatz haben würde, um einzugreifen.

VDI-Lösungen können einen gewissen Schutz gegen eine destruktive Malware wie Disttrack bieten, durch die Fähigkeit, Snapshots von „gewipeten“ Systemen zu laden. Die Tatsache, dass die Shamoon-Angreifer Benutzernamen und Passwörter hatten, könnte darauf hindeuten, dass sie beabsichtigten, uneingeschränkten Zugang zu diesen Technologien bei ihrem Angriffsziel zu erhalten, um die Auswirkungen ihres zerstörerischen Angriffs zu erhöhen. Wenn dies der Fall ist, wäre dies eine neue Qualität der Bedrohung. Unternehmen sollten daher zusätzliche Sicherheitsmaßnahmen zum Schutz der Anmeldeinformationen für ihre VDI-Bereitstellung in Erwägung ziehen.

Zu diesem Zeitpunkt haben die Forscher von Palo Alto Networks keine Einzelheiten über die Kompromittierung, die dem Shamoon-Angriff vorausgegangen sein muss, um Anmeldeinformationen zu erhalten. Ebenso gibt es noch keine Details über die Methode, die verwendet wurde, um die neue, zwar ähnliche, aber im Vergleich zum ersten Angriff unterschiedliche Disttrack-Nutzlast in diesem Angriff zu auszuliefern. Ähnlich wie bei den anfänglichen Angriffen, deutet das Fehlen eines operativen C2-Servers darauf hin, dass die einzige Absicht der Bedrohungsakteure, diesen „Shamoon 2“-Angriff auszuführen, darin besteht, Daten und Systeme zu zerstören.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44453740 / Malware)