Neuartiges Malware-Ökosystem bedroht VMware-Umgebungen
Forschende von Mandiant haben ein neuartiges Malware-Ökosystem entdeckt. Dieses bedroht Systeme für den Betrieb von virtuellen Umgebungen von VMware, Linux und Microsoft.
Sicherheitsforschende des Cybersecurity-Anbieters Mandiant haben im April eine neuartige Angriffsmethode entdeckt. Diese ermöglicht es Angreifern, mehrere Hintertüren im Zielsystem zu installieren, wie das Unternehmen in einem Blogeintrag schreibt. Die betroffene Software komme bei Unternehmen in Branchen wie dem öffentlichen Sektor, Finanzen, Verteidigung und Technologie zum Einsatz.
Die Cyberkriminellen verwenden dazu bösartige "vSphere Installation Bundles" (VIBs), wie das Unternehmen schreibt. Diese Software-Pakete beinhalten normalerweise aktualisierte Treiber oder CIM Provider. Bei einem erfolgreichen Angriff ermöglichen es diese bösartigen VIBs, mehrere dauerhafte Hintertüren auf einem ESXi-Hypervisoren zu installieren - also Hintertüren, die auch einen Neustart der Hardware überstehen. Dazu seien aber Administratorenrechte nötig. Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, mit der virtuelle Maschinen erstellt und ausgeführt werden, wie VMware auf seiner Website schreibt.
Die so installierten Hintertüren ermöglichen es laut Mandiant, Befehle auszuführen, Dateien zu übertragen und Protokollierungsdienste sowohl auf den Hypervisoren als auch auf den darunter laufenden Gastcomputern zu manipulieren. Gemäss dem Blogeintrag sind auch Linux vCenter-Server und virtuelle Maschinen von Windows von der Malware betroffen.
Kein Zero-Day-Bug gefunden
Zum jetzigen Zeitpunkt liegen Mandiant nach eigenen Angaben keine Beweise dafür vor, dass eine Zero-Day-Schwachstelle in EXSi zur Installation der VIBs ausgenutzt wurde. Es handle sich auch nicht um eine externe Schwachstelle zur Remotecodeausführung.
Bis anhin sei die Malware in weniger als 10 Fällen nachgewiesen worden. Da die VMware-Infrastruktur die sogenannte "Endpoint Detection und Respons"-Technologie - eine Technologie zur kontinuierlicher Überwachung ausgewählter Endpunkte wie Laptops oder IoT-Geräte - nicht unterstützt, erwartet der Cybersecurity-Anbieter, dass nach der Veröffentlichung der Forschungsergebnisse weitere Fälle dazukommen werden.
Sowohl Mandiant als auch VMware haben bereits Anleitungen zur Härtung der eigenen Systeme veröffentlicht.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Strafverfahren eröffnet wegen Russland-Skandal beim Schweizer Geheimdienst
Update: Doch kein Phishing mit Fake-Tickets für UEFA-Frauenfinal
Update: Ex-Google-Forscher verlassen OpenAIs Zürcher Büro für Meta
Multi-Cloud beherrschen – KI bringt Ordnung ins Chaos
Digitale Souveränität sichern – Strategien für die Cloud
Mehrwert statt Mehraufwand – wie Multi-Cloud Business-Innovation ermöglicht
"Entscheider müssen sich überlegen, welches Cloud-Set-up sinnvoll ist"
Wie sich der CFO vom Zahlenhüter zum Zukunftsgestalter mausert
Der Innovation auf die Finger geschaut
