Guardicore Labs: Neue Angriffswelle breitet sich weltweit aus

Das Smominru-Bot-Netz ist zurück

27. September 2019, 12:29 Uhr   |  Von Dr. Jörg Schröper.

Das Smominru-Bot-Netz ist zurück

Guardicore, Anbieter im Umfeld von Rechenzentrums- und Cloud-Sicherheit, warnt vor einer neuen Angriffswelle durch die Smominru-Malware, die allein im August mehr als 4.900 Unternehmensnetze infiziert hat. Das Smominru-Botnetz ist bereits seit 2017 aktiv, breitet sich jedoch aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke betreffen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts ? sogar Cybersicherheitsanbieter sind laut Guardicore betroffen.

Das weltweite Botnetz Smominru kompromittiert Windows-Rechner vor allem über den EternalBlue-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet wurde. Nachdem die Hacker-Gruppe "Shadow Brokers" die Sicherheitslücke geleakt hatte, richtete sie unter anderem im Rahmen der WannaCry-Ransomware-Attacke 2016 großflächige Schäden an. Von den aktuellen Smominru-Attacken sind insbesondere die Länder China, Taiwan, Russland, Brasilien und die USA betroffen.

Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben Zugriff auf einen der angreifenden Haupt-Server verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen. Neben dem EternalBlue-Exploit nutzen die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Protokolle wie MS-SQL, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens blueps.txt auf den betroffenen Rechner geladen, das mehrere Aktionen durchführt.

Im ersten Schritt lädt es drei Binärdateien herunter und führt sie aus, um ein administratives Benutzerkontos namens "admin$" auf dem IT-System neu zu erstellen. Nach dem Download zusätzlicher Skripte führen die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installieren mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.

Eine detaillierte Analyse der neuen Angriffswelle hat das Guardicore-Labs-Expertenteam im folgenden Blogbeitrag dargelegt www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit. Guardicore (www.guardicore.com) ist auf Stand 316 in Halle 9 auf der it-sa 2019 in Nürnberg vom 8. bis 10. Oktober 2019 zu finden.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Bitdefender: IoT-Botnet nutzt WLAN-Schnittstelle gegen Android
IoT-Bot-Netze nutzen weiter Standard-Kennwörter aus
Wachsende Gefahr: Kaspersky-DDoS-Report für 2018

Verwandte Artikel

Bot-Netz

Botnet

Malware