Cyberbedrohungen

Cyberkriminelle nehmen mehrere Webhosting- und IT-Anbieter ins Visier

, Palo Alto Networks | Autor: Herbert Wieler

Cyberkriminelle nehmen mehrere Webhosting- und IT-Anbieter ins Visier

Palo Alto Networks analysiert Manic Menagerie 2.0

IT-Security-Analysten von Palo Alto Networks / Unit 42 analysieren eine aktive Kampagne, die es von Ende 2020 bis Ende 2022 auf mehrere Webhosting- und IT-Anbieter in den USA und der EU abgesehen hatte. Unit 42 verfolgt seitdemPalo Alto Networks die Aktivitäten im Zusammenhang mit dieser Angriffsserie unter der Bezeichnung CL-CRI-0021. Bei dieser Kampagne verschafften sich die Angreifer Zugang zu den Zielcomputern, indem sie anfällige Webanwendungen und IIS-Server ausnutzten und verschiedene Web-Shells auf diesen infizierten Servern installierten. Das Forschungsteam von Palo Alto Networks geht davon aus, dass die jüngste Kampagne Manic Menagerie 2.0 von demselben Pool an Kriminellen ausgeht, der auch für die ursprüngliche Kampagne mit dem Namen Manic Menagerie verantwortlich war.

Die Angreifer setzten Coin Miner auf gekaperten Rechnern ein, um die Ressourcen der kompromittierten Server zu missbrauchen. Durch den massenhaften Einsatz von Web-Shells, die ihnen dauerhaften Zugriff auf die internen Ressourcen der kompromittierten Websites gewährten, konnten sie ihre Position in den Umgebungen der Opfer weiter ausbauen. Die Bereitstellung von Web-Shells auf einem aktiven Webserver ermöglichte es den Angreifern, legitime Websites zu kapern. Die Web-Shells wurden hierzu auf den gehosteten Websites auf dem angegriffenen Server platziert.

Auf diese Weise konnten die Angreifer die gekaperten legitimen Websites bei den angegriffenen Webhosting- und IT-Anbietern in Command-and-Control-Server (C2) verwandeln, die Tausende von Websites betreffen. Ein Angreifer könnte also seine C2-Aktivitäten von legitimen Websites aus betreiben, die einen guten Ruf haben und von Sicherheitslösungen nicht unbedingt als bösartig eingestuft werden. Dies könnte enorme Auswirkungen auf die missbrauchten legitimen Websites haben, die unter diesen Umständen unwissentlich bösartige Inhalte beherbergen und kriminelle Aktivitäten ermöglichen würden. Dies wiederum könnte den Eigentümern der Websites oder den Webhosting-Unternehmen rechtliche Probleme bereiten und/oder ihren Ruf schädigen.

Während sie in den Netzwerken der Opfer operierten, versuchten die Angreifer mit verschiedenen Techniken, die Erkennung durch verschiedene Überwachungstools und aktive kommerzielle Cybersicherheitsprodukte zu umgehen. Außerdem führten sie immer wieder Nutzdaten aus, setzten Tools ein, die zuvor blockiert worden waren, und führten sie erneut aus oder verwendeten andere ähnliche Tools. Die Angreifer versuchten, unter dem Radar zu bleiben, indem sie bekannte Malware vermieden, benutzerdefinierte Tools einführten und sich auf öffentlich verfügbare legitime Tools verließen.

In den Jahren 2021-2022 versuchten die Angreifer nach dem Bekanntwerden mehrerer Sicherheitslücken in Microsoft Exchange Server, die folgenden Sicherheitslücken bei einigen Zielen auszunutzen:

  • CVE-2021-26855, CVE-2022-41040: (ProxyNotShell) Exchange Server SSRF-Schwachstellen
  • CVE-2021-34473: (ProxyShell) Exchange Server-Schwachstelle für Remotecodeausführung
  • CVE-2021-33766: (ProxyToken) Ermöglicht einem Angreifer, die Konfiguration von Postfächern beliebiger Benutzer zu ändern

Diese Schwachstellen boten zusätzlich zu den Schwachstellen in den IIS-Servern und den anfälligen Webanwendungen in der Umgebung den Angreifern einen weiteren Vektor für die Penetration und Persistenz. Seit Ende 2020 versuchten die Angreifer in regelmäßigen Abständen, lokale Proof-of-Concept-Tools (PoC) zur Privilegienerweiterung auszuführen. Wenn ein Tool fehlschlug, testeten sie ein anderes Tool mit ähnlichen Funktionen. Die Angreifer wurden dabei beobachtet, wie sie versuchten, weitere Netzwerkerkundungen in einer infizierten Umgebung durchzuführen, indem sie eine anfällige Webanwendung ausführten. Anschließend versuchten sie, ihren eigenen Benutzer hinzuzufügen, indem sie au.exe ausführten, was die Abkürzung für „add user“ ist. Diese Datei muss von einem Benutzer mit erhöhten Rechten ausgeführt werden. Anschließend vergewisserten sie sich durch die Ausführung von Netzbefehlen, dass ihr Benutzername existiert.

Die Angreifer wurden auch dabei beobachtet, wie sie mit mehreren öffentlich verfügbaren Tools versuchten, lokale Rechte zu erweitern, indem sie die Schwachstellen CVE-2018-8120, CVE-2019-0623, CVE-2019-0803 und CVE-2019-1458 ausnutzten. Eine weitere interessante Ausführung, die in Manic Menagerie 2.0 zu beobachten war, ist die Fork Bomb svchost.exe, eine Art von Denial-of-Service (DoS)-Tool. Der Code für diese Fork Bomb ist sehr einfach, da er in einer Endlosschleife läuft und immer mehr Instanzen von sich selbst öffnet, bis dem Rechner der Speicher ausgeht. Diese Aktivität soll den Rechner zum Absturz bringen und einen Neustart erzwingen. Dadurch kann der Persistenzmechanismus einer ausführbaren Datei, die einen Neustart erfordert, aktiviert werden.

Im April 2023 beobachteten die Forscher von Palo Alto Networks bei der Überwachung von Aktivitäten im Zusammenhang mit Manic Menagerie 2.0, dass die Angreifer neue modifizierte Tools einsetzten und über eine zuvor eingesetzte Web-Shell auf kompromittierte Umgebungen zugriffen. Dies lieferte Anzeichen dafür, dass die Gruppe ältere Tools parallel zu aktualisierten Tools wie au.exe einsetzt.