Thought Leadership
Sicherheitsforscher von Cato Networks haben eine bislang unbekannte Backdoor-Malware entdeckt, die gezielt auf Unternehmensumgebungen abzielt.
Die Schadsoftware mit dem Namen „TencShell“ wurde laut dem Threat-Research-Team Cato CTRL bei einem Angriff auf einen international tätigen Kunden identifiziert und gestoppt. Die Malware soll Angreifern dauerhaften Fernzugriff auf kompromittierte Systeme ermöglichen und könnte insbesondere für große Unternehmen mit komplexen Lieferketten gefährlich werden.
Tarnung über legitime Kommunikationsmuster
Nach Angaben der Forscher basiert TencShell auf dem Open-Source-Framework Rshell, das ursprünglich für plattformübergreifende Fernzugriffe entwickelt wurde. Die Angreifer haben das Framework jedoch angepasst und für ihre Zwecke erweitert. Auffällig sei vor allem die Tarnung der Kommunikation: Die Schadsoftware imitiert Webdienst-Strukturen, die an den chinesischen Technologiekonzern Tencent erinnern. Dadurch soll der Datenverkehr wie normale API- oder Cloud-Kommunikation wirken.
Die Experten vermuten hinter der Kampagne einen chinesischen Bedrohungsakteur. Einen endgültigen Nachweis dafür gebe es bislang jedoch nicht.
Angriff über Drittanbieter-Zugang
Der beobachtete Vorfall ereignete sich in einer globalen Fertigungsumgebung mit mehreren regionalen Standorten. Nach Erkenntnissen von Cato stand der Angriff im Zusammenhang mit einem externen Drittanbieter-Zugang zur Kundenumgebung. Gerade solche Verbindungen stellen für Unternehmen ein erhebliches Risiko dar, weil Angreifer darüber in interne Netzwerke eindringen können.
Die Forscher warnen, dass ein kompromittierter Zugang nicht nur einzelne Systeme gefährdet. Auch Produktionsabläufe, geistiges Eigentum, Kundendaten und Lieferketten könnten betroffen sein. Besonders kritisch sei dabei, dass die erste Schadsoftware oft lediglich als Einstiegspunkt dient, um später weitere Werkzeuge nachzuladen.
So arbeitet TencShell
Die Malware ermöglicht unter anderem:
- Fernsteuerung kompromittierter Systeme
- Ausführung weiterer Schadsoftware direkt im Arbeitsspeicher
- Netzwerkbewegungen innerhalb der Infrastruktur
- Systemanalyse und Datensammlung
- Nachladen zusätzlicher Tools
Laut Cato wurde die beobachtete Variante speziell für die aktuelle Kampagne angepasst. Die Angreifer veränderten sowohl die Kommunikationswege als auch die Methoden zur Bereitstellung der Schadsoftware.
Mehrstufige Infektionskette
Wie der ursprüngliche Zugriff erfolgte, ist bislang unklar. Möglich seien Phishing-Mails, manipulierte Downloads oder andere webbasierte Methoden. Nach der ersten Infektion setzte die Malware laut den Forschern eine mehrstufige Angriffskette in Gang.
Dabei wurde zunächst ein sogenannter Dropper ausgeführt, der weitere Komponenten nachlud. Anschließend erfolgte die Ausführung von Shellcode direkt im Arbeitsspeicher, bevor schließlich das angepasste Rshell-Framework aktiviert wurde. Danach versuchte die Malware, eine Verbindung zur Infrastruktur der Angreifer aufzubauen.
Besonders problematisch: Die Schadsoftware arbeitet weitgehend im Speicher des Systems und hinterlässt dadurch nur wenige klassische Spuren auf der Festplatte.
Abbildung: TencShell-Infektionskette (Quelle: Cato Networks)
Unternehmen müssen Drittzugänge stärker absichern
Der Fall zeigt erneut, wie stark moderne Angriffe auf Lieferketten und externe Partnerverbindungen abzielen. Gerade international vernetzte Unternehmen mit vielen Standorten und Dienstleistern sollten externe Zugriffe konsequent überwachen und absichern.
Die Forscher von Cato weisen darauf hin, dass erst die Kombination mehrerer verdächtiger Signale den Angriff eindeutig sichtbar machte. Einzelne Hinweise wirkten zunächst unauffällig. Erst die Korrelation von Netzwerkaktivitäten, verdächtigen Dateien und Kommunikationsmustern offenbarte die vollständige Angriffskette.
