Spezialisten von GuardiCore, Anbieter für Rechenzentrums- und Cloud-Sicherheitsprodukten, haben nach eigenen Angaben eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Kryptominer installiert wird. Die "Butter" genannte Schadsoftware agiert im Hintergrund und ist zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnik und erstellt mit einem Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen. Beim jetzt offengelegten "butter"-Angriff brechen die Angreifer in schwach oder gar nicht gesicherte Server per Brute-Force-Attacke auf SSH-Zugangsdaten ein.
Über die kompromittierte SFTP-Verbindung (SSH File Transfer Protocol) schleusen sie dann eine Backdoor-Nutzerdatei namens "butter" sowie einen als Service getarnten Trojaner mit Schreib- und Leserechten ein. Vor Ausführung des Datenpakets löscht die Malware alle vorherigen Kopien. Darauf weisen Sicherheitsforscher von GuardiCore in einem Beitrag hin: www.guardicore.com/2018/11/butter-brute-force-ssh-attack-tool-evolution.
Ursprungsländer der Butter-Angriffe sind Hong Kong und Singapur, wo sie erstmals Mitte 2015 auffielen. Anders als bei vergleichbaren Vorfällen erfolgten die Attacken nur über eine begrenzte Zahl an IP-Adressen. Zwei Anwendungen kamen dabei zum Einsatz: "80" ist ein aktueller Fernzugriffs-Trojaner mit DDoS-Funktionalität, der über Cron läuft, konkurrierende Malware löscht und ein Linux-Kernel-Rootkit zur Verwischung der Spuren installiert. Im Juli dieses Jahres tauchte dann die erste von mittlerweile sieben "Samba"-Versionen auf, die neben den gängigen Remote-Access-Trojanerfunktionen außerdem einen Kryptominer enthält.
Ursprünglich führten die äußerst vorsichtig agierenden butter-Angreifer bekannte Malware-Programme aus, um administrativen Zugriff auf IT-Systeme und Zugriff auf vertrauliche Informationen zu erlangen. Neuerdings installieren sie einen selbstentwickelten Remote-Access-Trojaner, der Krypto-Geld schürft und DDoS-Attacken über HTTP und DNS ausführen kann. Den seit Juli 2018 verteilten Samba-Trojaner erkennen laut GuardiCore aktuell viele Sicherheitsprodukte nicht.
Weitere Informationen erhalten Interessierte unter www.guardicore.com.