Guardicore, Anbieter im Umfeld von Rechenzentrums- und Cloud-Sicherheit, warnt vor einer neuen Angriffswelle durch die Smominru-Malware, die allein im August mehr als 4.900 Unternehmensnetze infiziert hat. Das Smominru-Botnetz ist bereits seit 2017 aktiv, breitet sich jedoch aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke betreffen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cybersicherheitsanbieter sind laut Guardicore betroffen.

Das weltweite Botnetz Smominru kompromittiert Windows-Rechner vor allem über den EternalBlue-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet wurde. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, richtete sie unter anderem im Rahmen der WannaCry-Ransomware-Attacke 2016 großflächige Schäden an. Von den aktuellen Smominru-Attacken sind insbesondere die Länder China, Taiwan, Russland, Brasilien und die USA betroffen.

Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben Zugriff auf einen der angreifenden Haupt-Server verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen. Neben dem EternalBlue-Exploit nutzen die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Protokolle wie MS-SQL, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens blueps.txt auf den betroffenen Rechner geladen, das mehrere Aktionen durchführt.

Im ersten Schritt lädt es drei Binärdateien herunter und führt sie aus, um ein administratives Benutzerkontos namens „admin$“ auf dem IT-System neu zu erstellen. Nach dem Download zusätzlicher Skripte führen die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installieren mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.

Eine detaillierte Analyse der neuen Angriffswelle hat das Guardicore-Labs-Expertenteam im folgenden Blogbeitrag dargelegt www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit. Guardicore (www.guardicore.com) ist auf Stand 316 in Halle 9 auf der it-sa 2019 in Nürnberg vom 8. bis 10. Oktober 2019 zu finden.

Dr. Jörg Schröper ist Chefredakteur der LANline.