Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

"Butter"

Quele: GuardiCore

GuardiCore, Innovator für Rechenzentrums- und Cloud-Sicherheit, hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die „Butter“ genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt.

GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.

Beim jetzt offengelegten „Butter“-Angriff brechen die Angreifer in schwach oder gar nicht gesicherte Server per Brute-Force-Attacke auf SSH-Zugangsdaten ein. Über die kompromittierte SFTP-Verbindung (SSH File Transfer Protocol) schleusen sie dann eine Backdoor-Nutzerdatei namens „butter“ sowie einen als Service getarnten Trojaner mit Schreib- und Leserechten ein. Vor Ausführung des Datenpakets werden alle vorherigen Malware-Kopien gelöscht. Darauf weisen Sicherheitsforscher von GuardiCore in einem Beitrag hin.

butter User Added

Quelle: GuardiCore

Ursprungsländer der Butter-Angriffe sind Hong Kong und Singapur, wo sie erstmals Mitte 2015 entdeckt wurden. Anders als bei vergleichbaren Vorfällen erfolgten die Attacken nur über eine begrenzte Zahl an IP-Adressen. Zwei Anwendungen kamen dabei zum Einsatz: „80“ ist ein aktueller Fernzugriffstrojaner mit DDoS-Funktionalität, der über Cron läuft, konkurrierende Malware löscht und ein Linux-Kernel-Rootkit zur Verwischung der Spuren installiert. Im Juli dieses Jahres tauchte dann die erste von mittlerweile sieben „Samba“-Versionen auf, die neben der gängigen Remote-Access-Trojanerfunktionen außerdem einen Krypto-Miner beinhalten.

Womit Butter sein Brot verdient

Ursprünglich führten die äußerst vorsichtig agierenden Butter-Angreifer bekannte Malware-Programme aus, um administrativen Zugriff auf IT-Systeme und vertrauliche Informationen in den Besitz zu bekommen. Neuerdings installieren sie einen selbstentwickelten Remote-Access-Trojaner, der Kryptogeld schürft und DDoS-Attacken über HTTP und DNS ausführen kann. Der seit Juli 2018 verteilte Samba-Trojaner wird aktuell von vielen Sicherheitsprodukten nicht erkannt.

www.guardicore.com
 

GRID LIST
Uwe Scharf

Neuer Geschäftsführer Business Units und Marketing bei Rittal

Veränderung in der Geschäftsführung bei Rittal: Uwe Scharf (55) wurde zum 1. Januar 2019…
Wilder Westen

Gegen das "Wild Wild Web", für eine Zivilisierung des Internets

Was haben der Wilde Westen von damals und das Internet von heute gemeinsam? In seinem…
Brexit

BITMi bedauert Ablehnung des Brexit Deals

Der Bundesverband IT-Mittelstand e.V. (BITMi) bedauert die Ablehnung des Brexit-Deals…
WhatsApp

Diese WhatsApp-Funktionen sollten Sie kennen

WhatsApp ist entgegen wiederkehrender Fragen nach der Datensicherheit nach wie vor die…
offenes Schloss

Eine Mrd. Zugangsdaten im Netz aufgetaucht

Im Internet ist eine der größten Sammlungen gestohlener Passwörter und E-Mail-Adressen…
Hacker wird verhaftet

Deutsche bezüglich Cyberverteidigung skeptisch

Kein Profi, sondern, wie es Markus Beckedahl von netzpolitik.org ausdrückt, "ein junger,…
Smarte News aus der IT-Welt