Python-Backdoor zur vollständigen Durchseuchung mit RansomHub-Ransomware genutzt
Cybersicherheitsexperten haben einen raffinierten Angriff beschrieben, bei dem ein Bedrohungsakteur eine Python-basierte Hintertür geschickt einsetzte, um sich dauerhaft Zugang zu kompromittierten Endpunkten zu sichern. Mit diesem Zugang orchestrierte der Angreifer anschließend die großflächige Verbreitung der RansomHub-Ransomware über das gesamte Zielnetzwerk.
Die RansomHub-Ransomware, eine der aktuell gefährlichsten Bedrohungen in der Cyberkriminalität, wird jetzt durch Python-basierte Malware unterstützt. Diese Malware nutzt gezielt Sicherheitslücken in Netzwerken aus, um Systeme zu infiltrieren und Verschlüsselungsangriffe durchzuführen.
Die Verwendung der Programmiersprache Python ermöglicht es den Angreifern, schnell anpassbare und hochgradig effektive Schadsoftware zu erstellen. Dank der Vielseitigkeit und Verfügbarkeit von Python-Bibliotheken wird die Entwicklung von Exploits erheblich erleichtert.
Laut GuidePoint Security wurde der anfängliche Zugriff durch eine JavaScript-Malware namens SocGholish (auch bekannt als FakeUpdates) ermöglicht, die über Drive-by-Kampagnen verbreitet wird. Dabei werden ahnungslose Nutzer dazu verleitet, gefälschte Browser-Updates herunterzuladen.
Wie der Angriff aufgebaut ist
Solche Angriffe nutzen oft legitime, jedoch infizierte Websites, auf die Opfer durch Suchmaschinenergebnisse weitergeleitet werden. Diese Ergebnisse werden mithilfe von Black-Hat-Techniken der Suchmaschinenoptimierung manipuliert. Nach der Ausführung nimmt SocGholish Kontakt zu einem Angreifer-gesteuerten Server auf, um zusätzliche Schadsoftware herunterzuladen.
Noch im letzten Jahr richteten sich SocGholish-Kampagnen gezielt gegen WordPress-Seiten, die veraltete Versionen beliebter Suchmaschinenoptimierungs-Plug-ins wie Yoast (CVE-2024-4984, CVSS-Wert: 6,4) und Rank Math PRO (CVE-2024-3665, CVSS-Wert: 6,4) verwendeten, um anfänglichen Zugriff zu erlangen.
In dem von GuidePoint Security untersuchten Vorfall wurde die Python-basierte Hintertür etwa 20 Minuten nach der anfänglichen Infektion durch SocGholish auf das System übertragen. Der Angreifer verbreitete die Hintertür anschließend auf andere Rechner im selben Netzwerk, indem er sich während der lateralen Bewegung über RDP-Sitzungen Zugang verschaffte.
„Funktional handelt es sich bei dem Skript um einen Reverse-Proxy, der mit einer fest codierten IP-Adresse verbunden ist. Nach dem ersten Command-and-Control-Handshake (C2) baut das Skript einen Tunnel auf, der im Wesentlichen auf dem SOCKS5-Protokoll basiert“, so der Sicherheitsspezialist Andrew Nelson.
„Dieser Tunnel ermöglicht es dem Angreifer, sich lateral im kompromittierten Netzwerk zu bewegen und das System des Opfers als Proxy zu verwenden.“
Das Python-Skript, dessen frühere Version bereits im Februar 2024 von ReliaQuest beschrieben wurde, ist seit Anfang Dezember 2023 in Umlauf. Seitdem wird es regelmäßig leicht verändert, um die Verschleierungstechniken zu verbessern und Sicherheitsmaßnahmen besser umgehen zu können.
GuidePoint stellte fest, dass das entschlüsselte Skript sehr gut strukturiert und sauber geschrieben ist. Das zeigt, dass der Autor der Malware entweder großen Wert auf gut lesbaren und leicht testbaren Python-Code legt oder bei der Programmierung auf einschlägige KI-Tools zurückgreift.
„Mit Ausnahme der verschleierten lokalen Variablen ist der Code in klar definierte Klassen gegliedert, die verständliche Methoden- und Variablennamen verwenden“, erklärte Nelson. „Jede Methode enthält außerdem umfassende Mechanismen zur Fehlerbehandlung und ausführliche Debug-Meldungen.“
Weitere Werkzeuge für die Angriffsvorbereitung
Die Python-basierte Hintertür ist bei weitem nicht das einzige Werkzeug, das in Ransomware-Angriffen als Vorstufe eingesetzt wird. Wie Halcyon kürzlich hervorhob, gehören zu den weiteren Tools, die vor der Verbreitung von Ransomware eingesetzt werden, unter anderem:
- EDRSilencer und Backstab: Deaktivieren von Endpoint-Detection-and-Response-Lösungen
- LaZagne: Diebstahl von Zugangsdaten
- MailBruter: Kompromittierung von E-Mail-Konten durch das Brute-Forcing von Anmeldedaten
- Sirefef und Mediyes: Verdeckter Zugriff und Verbreitung zusätzlicher Schadsoftware
Es wurden auch Ransomware-Angriffe beobachtet, bei denen gezielt Amazon S3-Buckets ins Visier genommen wurden. Die Angreifer nutzen dabei die serverseitige Verschlüsselung von Amazon Web Services (AWS), bei der die Opfer selbst die Verschlüsselungsschlüssel bereitstellen müssen (Server-Side Encryption with Customer Provided Keys, SSE-C), um deren Daten zu verschlüsseln. Diese Methode wird einer Gruppe namens Codefinger zugeschrieben.
Um zusätzlichen Druck auszuüben, markieren die Angreifer die verschlüsselten Dateien über die S3 Object Lifecycle Management API zur automatischen Löschung innerhalb von sieben Tagen. Damit setzen sie die Opfer unter Zeitdruck, das Lösegeld schnell zu zahlen.
„Der Bedrohungsakteur Codefinger missbraucht öffentlich bekannt gewordene AWS-Schlüssel, die Berechtigungen zum Lesen und Schreiben von S3-Objekten haben“, so Halcyon. „Indem die Kriminellen native AWS-Dienste nutzen, verschlüsseln sie die Daten auf eine Weise, die sowohl sicher, als auch ohne ihre Kooperation nicht wiederherstellbar ist.“
Ähnliche Angriffsmuster auf Phishing-Basis
SlashNext berichtet währenddessen von einem deutlichen Anstieg sogenannter „Rapid-Fire“-Phishing-Kampagnen. Dabei kopieren die Angreifer die E-Mail-Bombing-Technik der Black-Basta-Ransomware-Gruppe, um die Postfächer ihrer Opfer mit mehr als 1.100 legitimen Nachrichten zu überfluten. Diese Nachrichten enthalten scheinbar harmlose Inhalte wie Newsletter oder Zahlungsbenachrichtigungen.
„Wenn die Opfer sich von der Flut an E-Mails überfordert fühlen, nutzen die Angreifer diese Situation aus“, erklärt das Unternehmen. „Sie kontaktieren die Betroffenen per Telefon oder über Microsoft Teams und geben sich als IT-Support des Unternehmens aus, der eine einfache Lösung anbietet.“
Die Angreifer treten selbstbewusst auf, um das Vertrauen der Opfer zu gewinnen, und fordern sie dazu auf, Fernzugriffssoftware wie TeamViewer oder AnyDesk zu installieren. Sobald diese Programme auf dem Gerät eingerichtet sind, verschaffen sich die Angreifer unbemerkt Zugriff. Von dort aus können sie Schadsoftware verbreiten oder sich unauffällig in andere Bereiche des Netzwerks bewegen, was ihnen den Zugang zu sensiblen Daten erleichtert.