Eine kürzlich entdeckte Hacking-Gruppe, genannt UNC1945, Es wurde festgestellt, dass eine bisher unbekannte Zero-Day-Sicherheitsanfälligkeit gegenüber Solaris OS-Computern verwendet wird.
Das Oracle-eigene Betriebssystem wird hauptsächlich von großen Unternehmen in komplexen Unternehmenskonfigurationen verwendet. Jedoch, Dieser Zero-Day-Bug hat es den Kriminellen ermöglicht, in interne Netzwerke einzudringen. Alle verfügbaren Informationen werden im CVE-2020-14871-Advisory verfolgt und von der Sicherheitsgemeinschaft überwacht.
UNC1945-Hacking-Gruppe geht gegen Solaris-Systeme mit Zero-Day-Fehler in CVE-2020-14871 vor
Das Solaris-Betriebssystem ist ein Unternehmensdienst, der hauptsächlich in komplexen Unternehmensnetzwerken bereitgestellt wird. Es basiert auf einer traditionellen UNIX-ähnlichen Struktur und kann als solche für verschiedene Zwecke verwendet werden: komplexe Berechnungen durchführen, Netzwerkeinstellungen verwalten, oder Daten liefern.
Es wurde festgestellt, dass die als UNC1945 bekannte Hacking-Gruppe verschiedene Arten von Angriffen auf Solaris-Server nutzt, die sich hinter Unternehmensnetzwerken befinden. Derzeit ist nicht viel über die Hacker bekannt, mit Ausnahme der Tatsache, dass es ihnen gelungen ist, eine bisher unbekannte Sicherheitsanfälligkeit auszunutzen, wird als Zero-Day-Bug bezeichnet. Der Sicherheitsbericht, der auf diesen gefährlichen Verstoß hinweist, stammt vom Mandiant-Forschungsteam. Angriffe auf ähnliche Umgebungen nehmen zu. Kürzlich haben wir das gemeldet Hacking-Gruppen haben Synology-Geräte ins Visier genommen. Ihr Betriebssystem ist ein Derivat einer Linux-Distribution.
Der Angriffspunkt ist eine Umgehung des vom Betriebssystem verwendeten Authentifizierungsverfahrens, Der Fehler wurde von den Kriminellen erkannt und hat ihnen ermöglicht, ein Backdoor-Modul namens zu installieren SLAPSTICK in die Systeme. Es wird automatisch aktiviert, nachdem die Infektion begonnen hat, und es wird eigene Aktionen ausführen. Die Zielcomputer waren diejenigen, die dem breiteren Internet ausgesetzt sind.
Jedoch, anstatt wie die meisten anderen Bedrohungen dieser Kategorie mit dem Eindringen fortzufahren, Die Hacker haben die Malware angewiesen, auf eine andere und viel schädlichere Weise fortzufahren.
UNC1945-Hacker verwenden eine komplizierte Infektionstechnik gegen die Solaris-Hosts
Anstatt mit den Infektionen fortzufahren, indem Sie die SLAPSTICK-Hintertür nutzen, um eine dauerhafte Verbindung zum von Hackern kontrollierten Server herzustellen, Die Hacker haben sich für einen anderen Weg entschieden. Die Hacking-Gruppen scheinen auf hochkarätige Ziele abzuzielen, da sie einen sehr komplexen geschaffen haben Sicherheit Bypass-Verfahren Damit sollen die Schutzmaßnahmen des Systems und der vom Benutzer installierten Programme überwunden werden: Anti-Malware-Scans, Firewalls, und Intrusion Detection-Systeme. Um nicht entdeckt zu werden, Die böswillige Sequenz lädt einen QEMU-Host für virtuelle Maschinen herunter und installiert ihn. Im Inneren, Ein vom Hacker erstelltes Image einer Linux-Distribution wird ausgeführt.
Diese virtuelle Maschine ist für die Kriminellen zugänglich und wird von ihnen vorkonfiguriert, Dadurch können sie alle in Dienstprogrammen enthaltenen Elemente ausführen. Die Analyse ergab, dass sie voll von Netzwerkscannern sind, Programme zum Knacken von Passwörtern, und andere Exploits. Die virtuelle Maschine wird dem Host-System ausgesetzt und ermöglicht den Hackern, Befehle dagegen auszuführen, sowie andere Computer, die im internen Netzwerk verfügbar sind. Der gefährliche Faktor ist, dass die Angriffe gegen alle Arten von Betriebssystemen erfolgen können, einschließlich Microsoft Windows und anderer UNIX-basierter Systeme.
Mögliche Folgen des Eindringens sind die folgenden böswilligen Aktionen:
- Löschen von Protokollen — Ein spezielles Malware-Programm wird verwendet, um die Protokolle der Virenaktionen zu löschen.
- Seitliche Brute Force — Von der installierten virtuellen Maschine aus können die Hacker weiterfahren “Spaltung” andere Computer im internen Netzwerk, die die bereitgestellten Tools verwenden.
- Dateien zugreifen — Alle von der Malware zugänglichen Daten können von den Hackern gestohlen werden.
- Steuerung — Die Hacker können die Kontrolle über die Hosts übernehmen und die Benutzer direkt ausspionieren.
Derzeit wird angenommen, dass UNC1945-Hacker den Exploit von einem unterirdischen Hacker-Marktplatzverkäufer gekauft haben. Das Tool, das die Hacker verwendet haben (EVILSUN) wird wahrscheinlich von diesen Orten erworben, es erlaubte den Kriminellen, den Exploit auszuführen und die Hintertür zu pflanzen.
Natürlich, folgende Nachrichten über diese Malware-Aktivität, Oracle hat das Problem im Oktober behoben 2020 Bulletin für Sicherheitsupdates. Derzeit gibt es keine Informationen über die Anzahl der infizierten Hosts. Alle Solaris-Administratoren werden aufgefordert, die neuesten Updates anzuwenden, um zu verhindern, dass Hacker die Exploits auf ihren Systemen versuchen.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: