Anubis-Backdoor nutzt kompromittierte SharePoint-Seiten, um Windows-Systeme zu kapern
Die Hackergruppe FIN7 nutzt eine neue, in Python programmierte Hintertür namens Anubis, um sich unbemerkt Fernzugriff auf Windows-Systeme zu verschaffen. Ziel: finanzielle Gewinne.
Die Schweizer Cybersicherheitsfirma PRODAFT warnt vor einer neuen Malware-Variante, die von der russischen Hackergruppe FIN7 eingesetzt wird. Die in Python geschriebene Backdoor „Anubis“ ermöglicht es Angreifern, Remote-Befehle auszuführen und vollständige Kontrolle über infizierte Windows-Systeme zu erlangen. „Damit können sie auf dem kompromittierten Rechner praktisch alles tun“, so PRODAFT in einem technischen Bericht. Achtung: Nicht zu verwechseln mit dem Android-Banking-Trojaner gleichen Namens.
FIN7 – auch bekannt unter Namen wie Carbon Spider, ELBRUS, Gold Niagara, Sangria Tempest oder Savage Ladybug – gilt als eine der aktivsten Cybercrime-Gruppen mit russischem Hintergrund. Ursprünglich auf Datendiebstahl spezialisiert, agiert FIN7 seit einigen Jahren zunehmend als Ransomware-Dienstleister.
Im Juli 2024 wurde beobachtet, wie die Gruppe unter verschiedenen Online-Aliasen ein Tool namens AuKill (auch „AvNeutralizer“) bewarb – eine Software, die gezielt Sicherheitsprogramme deaktivieren kann. Experten vermuten, dass dies Teil einer erweiterten Monetarisierungsstrategie ist.
Anubis wird offenbar über Mailspam-Kampagnen verbreitet. Die Empfänger werden dazu verleitet, eine ZIP-Datei zu öffnen, deren Inhalt über kompromittierte SharePoint-Seiten bereitgestellt wird. Darin enthalten: ein Python-Skript, das eine verschlüsselte Payload entschlüsselt und direkt im Speicher ausführt – ohne Spuren auf der Festplatte zu hinterlassen.
Einmal gestartet, nimmt Anubis über TCP-Sockets in Base64-codierter Form Kontakt zu einem Fernserver auf. Die vom Server gesendeten, ebenfalls kodierten Befehle ermöglichen eine Vielzahl von Aktionen:
- Ermitteln der IP-Adresse des infizierten Hosts
- Datei-Upload und -Download
- Ändern von Arbeitsverzeichnissen und Umgebungsvariablen
- Manipulation der Windows-Registry
- Laden von DLLs im Speicher über das Modul PythonMemoryModule
- Selbstlöschung der Malware
Das deutsche Sicherheitsunternehmen GDATA hat in einer Analyse herausgefunden, dass die Schadsoftware Anubis auch Befehle ausführen kann, die der Angreifer in Echtzeit übermittelt – direkt als Kommandozeilenbefehl auf dem infizierten Rechner.
Laut PRODAFT können so etwa Tastatureingaben mitgelesen, Bildschirmfotos gemacht oder Passwörter gestohlen werden – ohne dass diese Funktionen dauerhaft auf dem System installiert sind. „Weil Anubis so schlank gebaut ist, wird sie schwerer entdeckt – bleibt aber hochgradig gefährlich“, so PRODAFT.