Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

"Butter"

Quele: GuardiCore

GuardiCore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die „Butter“ genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt.

GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.

Beim jetzt offengelegten „Butter“-Angriff brechen die Angreifer in schwach oder gar nicht gesicherte Server per Brute-Force-Attacke auf SSH-Zugangsdaten ein. Über die kompromittierte SFTP-Verbindung (SSH File Transfer Protocol) schleusen sie dann eine Backdoor-Nutzerdatei namens „butter“ sowie einen als Service getarnten Trojaner mit Schreib- und Leserechten ein. Vor Ausführung des Datenpakets werden alle vorherigen Malware-Kopien gelöscht. Darauf weisen Sicherheitsforscher von GuardiCore in einem Beitrag hin.

butter User Added

Quelle: GuardiCore

Ursprungsländer der Butter-Angriffe sind Hong Kong und Singapur, wo sie erstmals Mitte 2015 entdeckt wurden. Anders als bei vergleichbaren Vorfällen erfolgten die Attacken nur über eine begrenzte Zahl an IP-Adressen. Zwei Anwendungen kamen dabei zum Einsatz: „80“ ist ein aktueller Fernzugriffstrojaner mit DDoS-Funktionalität, der über Cron läuft, konkurrierende Malware löscht und ein Linux-Kernel-Rootkit zur Verwischung der Spuren installiert. Im Juli dieses Jahres tauchte dann die erste von mittlerweile sieben „Samba“-Versionen auf, die neben der gängigen Remote-Access-Trojanerfunktionen außerdem einen Krypto-Miner beinhalten.

Womit Butter sein Brot verdient

Ursprünglich führten die äußerst vorsichtig agierenden Butter-Angreifer bekannte Malware-Programme aus, um administrativen Zugriff auf IT-Systeme und vertrauliche Informationen in den Besitz zu bekommen. Neuerdings installieren sie einen selbstentwickelten Remote-Access-Trojaner, der Kryptogeld schürft und DDoS-Attacken über HTTP und DNS ausführen kann. Der seit Juli 2018 verteilte Samba-Trojaner wird aktuell von vielen Sicherheitsprodukten nicht erkannt.

www.guardicore.com
 

GRID LIST
Geldkoffer Dollar

Equifax zahlt nach Datenklau-Skandal bis zu 700 Mio. Dollar

Ein schwerer Datendiebstahl aus dem Jahr 2017 kommt die US-Wirtschaftsauskunftei Equifax…
Roberto Casetta

Matrix42 ernennt Roberto Casetta zum VP International Sales

Roberto Casetta verstärkt seit 1. Juli 2019 als Vice President International Sales das…
Handschlag

Signavio schließt Technologiepartnerschaft mit Sprint Reply

Das Beratungshaus Sprint Reply nutzt ab sofort die Business-Transformation-Plattform von…
Personen und Schloss

DriveLock 2019.1 mit zahlreichen Erweiterungen

Das neue DriveLock 2019.1 Release soll ab sofort verfügbar sein. Die Updates betreffen:…
KI

Neuer Chip ahmt menschliches Gehirn nach

Das menschliche Gehirn als Vorbild für einen elektronischen Speicher: Diesen…
Spion

Spionagegruppe greift europäische Diplomaten an

Die berüchtigte Ke3chang-Gruppe hat Auslandsvertretungen und Regierungsinstitutionen in…