Guardicore: Malware nimmt Netzwerke aus dem Gesundheits-, Reise-, Bildungs- und Telekommunikationssektor ins Visier
Wurm Indexsinas mit Angriffsziel SMB-Server
Die Sicherheitsfachleute von Guardicore haben nach eigenen Angaben einen neuen Wurm entdeckt, der SMB-Server über die bekannte EternalBlue-Schwachstelle angreift. Indexsinas nutzt Werkzeuge der Hacker-Gruppe Equation Group, um per Lateral Movement ganze IT-Netzwerke zu infizieren. Die betroffenen Organisationen kommen hauptsächlich aus dem Gesundheitsumfeld, der Reisebranche, dem Bildungssektor und der Telekommunikationsbranche.
Der Wurm Indexsinas beweise damit, dass Netzwerke auch heute noch für Hacker-Kampagnen anfällig sind, die die EternalBlue-Schwachstelle im Windows-SMB-Dienst ausnutzen. Diese Sicherheitslücke wurde im Rahmen der Ransomware-Angriffe WannaCry und NotPetya mit riesigen Schäden vor vier Jahren weltweit bekannt. Aktuell gibt es mehr als 1,2 Millionen SMB-Server, die über das Internet erreichbar sind — viele davon weiterhin verletzlich. Die Angreifer nutzen das Exploit Kit der Equation Group, um anfällige Server per EternalBlue (MS17-010), Backdoor-Werkzeug DoublePulsar und NSA-Tool EternalRomance anzugreifen.
Guardicore Labs stellt ein Powershell-Erkennungs-Tool für Sicherheits-Admins zur Verfügung, das verdächtige Aktivitäten auf Windows-Rechnern aufspürt. Das Skript lässt sich per Kommandozeile ausführen, um eine potenzielle Kompromittierung frühzeitig zu erkennen. Weitere Informationen hat Guardicore Labs im Github-Repository hinterlegt.
„Visibilität und Segmentierung sind die entscheidenden Voraussetzungen im Unternehmen zum Erkennen verletzlicher Endpunkte und zur Abwehr von Angriffen“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, dazu in ihrem Blogbeitrag. „Die Angreifer verbreiten ihre Schadprogramme durch Einsatz eines Open-Source-Port-Scanners in Kombination mit drei bekannten Exploits der Equation Group — EternalBlue, DoublePulsar und EternalRomance. Diese Schwachstellen werden aktuell zur Infektion neuer Rechner genutzt, um sich privilegierten Zugriff zu verschaffen und Backdoor-Programme zu installieren.“
Anfang 2019 wurde Indexsinas vom Guardicore Global Sensors Network (GGSN) erstmals erkannt. GGSN ist ein weltweites Netzwerk von Erkennungssensoren, die in Rechenzentren und Cloud-Umgebungen auf der ganzen Welt laufen und in der Lage sind, Angriffsströme vollständig zu erfassen und auszuwerten. Mittlerweile haben die Guardicore-Sensoren mehr als 2.000 Indexsinas-Attacken von 1.300 unterschiedlichen Quellen erfasst, die sich hauptsächlich in den USA, Vietnam und Indien befinden. Eine Analyse der Quell-IPs förderte zutage, dass Indexsinas bereits verschiedene Branchen infiziert hat, darunter Hotels, Universitäten, medizinische Zentren, Regierungsbehörden und Telekommunikationsunternehmen.
Die Angreifer gehen vorsichtig und kalkuliert vor. Seit Jahren läuft die Kampagne über die gleiche Command-and-Control-Domäne, die in Südkorea gehostet ist. Der C2-Server ist hochgradig geschützt und verfügt über keine redundanten Internet-Ports. Die Angreifer verwenden einen privaten Mining-Pool für ihre Cryptomining-Aktivitäten, damit Außenstehende nicht auf die Wallet-Statistiken zugreifen können.
Lesen Sie mehr zum Thema
