Neuartiges Malware-Ökosystem bedroht VMware-Umgebungen
Forschende von Mandiant haben ein neuartiges Malware-Ökosystem entdeckt. Dieses bedroht Systeme für den Betrieb von virtuellen Umgebungen von VMware, Linux und Microsoft.
Sicherheitsforschende des Cybersecurity-Anbieters Mandiant haben im April eine neuartige Angriffsmethode entdeckt. Diese ermöglicht es Angreifern, mehrere Hintertüren im Zielsystem zu installieren, wie das Unternehmen in einem Blogeintrag schreibt. Die betroffene Software komme bei Unternehmen in Branchen wie dem öffentlichen Sektor, Finanzen, Verteidigung und Technologie zum Einsatz.
Die Cyberkriminellen verwenden dazu bösartige "vSphere Installation Bundles" (VIBs), wie das Unternehmen schreibt. Diese Software-Pakete beinhalten normalerweise aktualisierte Treiber oder CIM Provider. Bei einem erfolgreichen Angriff ermöglichen es diese bösartigen VIBs, mehrere dauerhafte Hintertüren auf einem ESXi-Hypervisoren zu installieren - also Hintertüren, die auch einen Neustart der Hardware überstehen. Dazu seien aber Administratorenrechte nötig. Ein Hypervisor, auch Virtual Machine Monitor genannt, ist eine Software, mit der virtuelle Maschinen erstellt und ausgeführt werden, wie VMware auf seiner Website schreibt.
Die so installierten Hintertüren ermöglichen es laut Mandiant, Befehle auszuführen, Dateien zu übertragen und Protokollierungsdienste sowohl auf den Hypervisoren als auch auf den darunter laufenden Gastcomputern zu manipulieren. Gemäss dem Blogeintrag sind auch Linux vCenter-Server und virtuelle Maschinen von Windows von der Malware betroffen.
Kein Zero-Day-Bug gefunden
Zum jetzigen Zeitpunkt liegen Mandiant nach eigenen Angaben keine Beweise dafür vor, dass eine Zero-Day-Schwachstelle in EXSi zur Installation der VIBs ausgenutzt wurde. Es handle sich auch nicht um eine externe Schwachstelle zur Remotecodeausführung.
Bis anhin sei die Malware in weniger als 10 Fällen nachgewiesen worden. Da die VMware-Infrastruktur die sogenannte "Endpoint Detection und Respons"-Technologie - eine Technologie zur kontinuierlicher Überwachung ausgewählter Endpunkte wie Laptops oder IoT-Geräte - nicht unterstützt, erwartet der Cybersecurity-Anbieter, dass nach der Veröffentlichung der Forschungsergebnisse weitere Fälle dazukommen werden.
Sowohl Mandiant als auch VMware haben bereits Anleitungen zur Härtung der eigenen Systeme veröffentlicht.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Schweizer Finanzbranche im Fadenkreuz von Cyberkriminellen
Lieferkettenangriffe: Risiken erkennen und gezielt vorbeugen
Bug Bounty Switzerland lanciert Schutzschild für Unternehmen
Kaspersky stellt Cybersecurity-Trends für 2025 vor
Cyberkriminelle nehmen Ledger-User ins Visier
Phisher tarnen sich am Black Friday als Banken und Technikhändler
Betrüger umgehen SMS-Filter mit RCS-System
Zu lange Laufstrecken in Open-World-Spielen
Wenn Harry Potter in eine amerikanische Schule ging
