Neuartiges Malware-Ökosystem bedroht VMware-Umgebungen
Forschende von Mandiant haben ein neuartiges Malware-Ökosystem entdeckt. Dieses bedroht Systeme für den Betrieb von virtuellen Umgebungen von VMware, Linux und Microsoft.
Sicherheitsforschende des Cybersecurity-Anbieters Mandiant haben im April eine neuartige Angriffsmethode entdeckt. Diese ermöglicht es Angreifern, mehrere Hintertüren im Zielsystem zu installieren, wie das Unternehmen in einem Blogeintrag schreibt. Die betroffene Software komme bei Unternehmen in Branchen wie dem öffentlichen Sektor, Finanzen, Verteidigung und Technologie zum Einsatz.
Die Cyberkriminellen verwenden dazu bösartige "vSphere Installation Bundles" (VIBs), wie das Unternehmen schreibt. Diese Software-Pakete beinhalten normalerweise aktualisierte Treiber oder CIM Provider. Bei einem erfolgreichen Angriff ermöglichen es diese bösartigen VIBs, mehrere dauerhafte Hintertüren auf einem ESXi-Hypervisoren zu installieren - also Hintertüren, die auch einen Neustart der Hardware überstehen. Dazu seien aber Administratorenrechte nötig. Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, mit der virtuelle Maschinen erstellt und ausgeführt werden, wie VMware auf seiner Website schreibt.
Die so installierten Hintertüren ermöglichen es laut Mandiant, Befehle auszuführen, Dateien zu übertragen und Protokollierungsdienste sowohl auf den Hypervisoren als auch auf den darunter laufenden Gastcomputern zu manipulieren. Gemäss dem Blogeintrag sind auch Linux vCenter-Server und virtuelle Maschinen von Windows von der Malware betroffen.
Kein Zero-Day-Bug gefunden
Zum jetzigen Zeitpunkt liegen Mandiant nach eigenen Angaben keine Beweise dafür vor, dass eine Zero-Day-Schwachstelle in EXSi zur Installation der VIBs ausgenutzt wurde. Es handle sich auch nicht um eine externe Schwachstelle zur Remotecodeausführung.
Bis anhin sei die Malware in weniger als 10 Fällen nachgewiesen worden. Da die VMware-Infrastruktur die sogenannte "Endpoint Detection und Respons"-Technologie - eine Technologie zur kontinuierlicher Überwachung ausgewählter Endpunkte wie Laptops oder IoT-Geräte - nicht unterstützt, erwartet der Cybersecurity-Anbieter, dass nach der Veröffentlichung der Forschungsergebnisse weitere Fälle dazukommen werden.
Sowohl Mandiant als auch VMware haben bereits Anleitungen zur Härtung der eigenen Systeme veröffentlicht.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
SAP würdigt seine Schweizer Lieblingskunden
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Die Stimmen zu den Best of Swiss Web Awards 2024
visiONstage – wo Business auf Zukunft trifft
Red Hat stellt neue Lösungen für Entwickler vor
Wieso man nicht ziellos herumirren sollte beim Telefonieren
HPE und Bosch bringen Lösungen zusammen für Digital Twins
Ergon wächst zweistellig
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
