Spionage: Cloud Snooper kommuniziert via Firewalls

Publiziert am 27. Februar 2020 von Günter Born

[English]Sicherheitsexperten von SophosLabs sind auf eine neue Cyber-Attacke mit einer Spionagesoftware gestoßen. Die Malware wurde Cloud Snooper getauft, implantiert einen Rootkit und kommuniziert über Firewalls hinweg. Gefunden wurde die Spionagesoftware in der Amazon-Cloud auf einem Linux-Server. Die Malware kann aber auch Windows-Systeme befallen.

Anzeige

Der Fall ist mir über den nachfolgenden Tweet unter die Augen gekommen – und da es durchaus einige Administratoren in Unternehmensumgebungen tangiert, nehme ich es mal separat im Blog auf.

Die neue Angriffsmethode verwendet, laut den Sophos-Experten, eine bislang unbekannte Kombination aus Hackertechniken, um der Schadsoftware den Weg frei zu machen, um auf Servern durch Firewalls hindurch mit den eigenen Befehls- und Kontrollservern kommunizieren zu können. Das Ganze funktioniert sowohl auf Linux- als auf Windows-Maschinen. Wegen der ausgefeilten Techniken stecken sehr professionelle Hacker hinter der Kampagne, möglicherweise genießt die Gruppe staatliche Unterstützung.

Unbekannte Kombination aus Hackertechniken

Die Details zu Cloud Snooper legt Sophos in diesem Bericht (PDF) offen. Aufgefallen ist dieser Angriff, weil jemand eine Anomalie (ungewöhnlich hoher Traffik) auf einer Amazon Web Services (AWS) Instanz feststellte. Während die AWS-Sicherheitsgruppen (SGs) richtig eingestellt waren und nur eingehenden HTTP- oder HTTPS-Verkehr zuließen, war das kompromittierte Linux-System immer noch auf eingehende Verbindungen auf den Ports 2080/TCP und 2053/TCP eingestellt.

Das war dann Grund, das Ganze näher zu untersuchen. Bei dieser Analyse dieses Systems wurde dann ein Rootkit gefunden, welches den Urhebern der Malware die Möglichkeit gab, den Server über die AWS-SGs fernzusteuern. Die Fähigkeiten dieses Rootkits beschränken sich jedoch nicht auf die Ausführung in der Amazon-Cloud: Es könnte auch zur Kommunikation mit und zur Fernsteuerung von Malware auf jedem Server hinter jeder beliebigen Firewall, selbst auf einem lokalen Server, verwendet werden.

Nach der Analyse wurden weitere Linux-Hosts identifiziert, die mit demselben oder einem ähnlichen Rootkit infiziert sind. In einem weiteren Schritt identifizierten die SophosLabs-Experten ein kompromittiertes Windows-System mit einer Hintertür. Das System kommunizierte mit einem ähnlichen C2-Server wie andere kompromittierte Linux-Hosts. Dabei wurde ein sehr ähnliches Konfigurationsformat verwendet. Die Hintertür basiert offenbar auf dem Quellcode der berüchtigten Gh0st-RAT-Malware.

Gefundene Cloud Snooper-Tools

SophosLabs hat bei der Untersuchung befallener Systeme verschiedene Dateien gefunden, die den Cloud Snooper-Tools zugeordnet werden. Die Beschreibung beginnt mit der Linux-Malware und geht dann zu ihrem Windows-Pendant über, das offenbar auf Gh0st RAT basiert. Insgesamt wurden im Laufe der Untersuchung 10 Beispiele entdeckt und untersucht. Dabei fanden sich nachfolgende manipulierten Dateien:

Linux Malware, Group 1

Anzeige
  • snd_floppy (MD5 a3f1e4b337ba1ed35cac3fab75cec369), 738.368 Bytes, ELF64, x86-64
  • snd_floppy (MD5 6a1d21d3fd074520cb6a1fda76d163da), 738.368 Bytes, ELF64, x86-64
  • snd_floppy (MD5 9cd93bb2a12cf4ef49ee1ba5bb0e4a95), 544.832 Bytes, ELF64, x86-64
  • snoopy (MD5 c7a3fefb3c231ad3b683f00edd0e26e4), 305.309 Bytes, ELF64, x86-64
  • vsftpd (MD5 15e96f0ee3abc9d5d2395c99aabc3b92), 60.456 Bytes, ELF64, x86-64
  • ips (MD5 2b7d54251068a668c4fe8f988bfc3ab5), 35.580 Bytes, ELF64, x86-64

Linux Malware, Group 2 – Gh0st RAT

  • snort (MD5 ecac141c99e8cef83389203b862b24fd), 64.412 Bytes, ELF64, x86-64
  • javad (MD5 67c8235ac0861c8622ac2ddb1f5c4a18), 64.412 Bytes, ELF64, x86-64
  • nood.bin (MD5 850bf958f07e6c33a496b39be18752f3), 66.000 Bytes, ELF64, x86-64

Windows Malware – Gh0st RAT

  • NSIProvider.dll (MD5 a59c83285679296758bf8589277abde7), 219.648 Bytes, PE32, x86
  • NSIProvider.dll.crt (MD5 76380fea8fb56d3bb3c329f193883edf), 516.097 Bytes, [encrypted]

Im Sophos-Blog findet sich ein deutschsprachiger Blog-Beitrag mit einigen kurzen Informationen. Ich finde den englischsprachigen Blog-Post aber spannender, da er einige Details mehr offen legt. In die Vollen geht aber der PDF-Bericht mit seinem 30 Seiten.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Linux, Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.