{"id":242567,"date":"2021-01-20T08:08:38","date_gmt":"2021-01-20T07:08:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=242567"},"modified":"2022-08-11T08:46:55","modified_gmt":"2022-08-11T06:46:55","slug":"auch-malwarebytes-von-den-solarwinds-angreifern-erfolgreich-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/20\/auch-malwarebytes-von-den-solarwinds-angreifern-erfolgreich-gehackt\/","title":{"rendered":"Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/01\/20\/auch-malwarebytes-von-den-solarwinds-angreifern-erfolgreich-gehackt\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Auch der Sicherheitsanbieter Malwarebytes hat jetzt bekannt gegeben, dass seine Office 365- und Azure-Systeme vom gleichen Angreifer, der f\u00fcr die SolarWinds-Attacken verantwortlich ist, gehackt wurden. Allerdings erfolgt der Angriff nicht \u00fcber die Sunburst-Backdoor in der SolarWinds Orion-Software, sondern \u00fcber eine andere Malware. Die Angreifer hatten beispielsweise Zugriff auf E-Mails von Malwarebyte. Symantec berichtet zudem \u00fcber eine neue Malware, die 7-Zip verwendet, um einige Systeme der Opfer zu infizieren. Es stecken wohl die gleichen Angreifer hinter dieser Malware.<\/p>\n<p><!--more--><\/p>\n<h2>Malwarebytes meldet Hack<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/e590ece781064d3f8cd539d557dedf09\" alt=\"\" width=\"1\" height=\"1\" \/>Malwarebytes hatte am 14. Dezember 2020 generell \u00fcber die SolarWinds Hacking-Operation, die \u00fcber 200 Opfer in den USA umfasst, <a href=\"https:\/\/blog.malwarebytes.com\/threat-analysis\/2020\/12\/advanced-cyber-attack-hits-private-and-public-sector-via-supply-chain-software-update\/\" target=\"_blank\" rel=\"noopener\">berichtet<\/a>. Im Artikel wurden allgemein die verf\u00fcgbaren Informationen aufgelistet, was Sinn macht. Denn auch Malwarebytes stellt ja Software zur Erkennung von Schadsoftware bereit. Etwa einen Monat sp\u00e4ter nun <a href=\"https:\/\/web.archive.org\/web\/20220725055429\/https:\/\/blog.malwarebytes.com\/malwarebytes-news\/2021\/01\/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments\/\" target=\"_blank\" rel=\"noopener\">das Eingest\u00e4ndnis<\/a>, dass man selbst Opfer dieses erfolgreichen Hacks geworden sei. Hier die Kerndaten.<\/p>\n<ul>\n<li>Malwarebytes war im Visier staatlicher Hacker, die f\u00fcr die SolarWinds-Operation verantwortlich sind.<\/li>\n<li>Es gibt Beweise, die auf auf einen Missbrauch des privilegierten Zugriffs auf Microsoft Office 365 und Azure-Umgebungen hindeuten.<\/li>\n<li>Da Malwarebytes kein SolarWinds Orion nutzt, erfolgte der Angriff \u00fcber einen anderen Vektor, der den Missbrauch von Anwendungen mit privilegiertem Zugriff auf Microsoft Office 365- und Azure-Umgebungen erm\u00f6glicht.<\/li>\n<li>Malwarebytes wurde am 15. Dezember 2020 vom Microsoft Security Response Center \u00fcber verd\u00e4chtige Aktivit\u00e4ten einer Drittanbieteranwendung im Microsoft Office 365-Tenant informiert.<\/li>\n<li>Die Information des MSRC lautete auch, dass die Aktivit\u00e4ten mit den Taktiken, Techniken und Verfahren (TTPs) desselben fortgeschrittenen Bedrohungsakteurs \u00fcbereinstimmen, der an den SolarWinds-Angriffen beteiligt war.<\/li>\n<li>Nach einer umfangreichen Untersuchung ist bekannt, dass der Angreifer nur Zugriff auf eine begrenzte Teilmenge der internen Unternehmens-E-Mails erhalten hat.<\/li>\n<li>Es wurden keine Beweise f\u00fcr einen unbefugten Zugriff oder eine Kompromittierung in einer der internen Malwarebyte On-Premises- und Produktionsumgebungen gefunden.<\/li>\n<\/ul>\n<p>Nach der Meldung durch Microsofts MSRC wurde sofort die Malwarebytes Incident Response Group aktiviert und das Detection and Response Team (DART) von Microsoft eingeschaltet. Gemeinsam f\u00fchrten die Teams dann eine umfassende Untersuchung sowohl der Malwarebytes Cloud- als auch der lokalen Umgebungen auf Aktivit\u00e4ten im Zusammenhang mit den API-Aufrufen durch, die den ersten Alarm ausl\u00f6sten. Die Untersuchung ergab, dass die Angreifer ein inaktives E-Mail-Schutzprodukt innerhalb des Malwarebytes Office 365-Tenants ausnutzten. Dies erm\u00f6glichte den Zugriff auf eine begrenzte Teilmenge interner Unternehmens-E-Mails. Malwarebytes weist darauf hin, dass man keine Azure-Cloud-Dienste in seinen Produktionsumgebungen verwendet.<\/p>\n<h2>Malwarebyte Produktionssysteme nicht betroffen<\/h2>\n<p>In Anbetracht des Supply-Chain-Charakters des SolarWinds-Angriffs wurde sofort eine Untersuchung des gesamten Malwarebytes-Quellcodes sowie der Erstellungs- und Bereitstellungsprozesse durchgef\u00fchrt. Das umfasste auch ein Reverse Engineering der eigenen Software. Alle internen Malwarebytes-Systeme zeigten keine Anzeichen f\u00fcr einen unbefugten Zugriff oder eine Kompromittierung in allen On-Premises- und Produktionsumgebungen. Der Hersteller gibt an, dass die MalwareBytes-Software weiterhin sicher verwendet werden kann.<\/p>\n<p>Ob da noch was nach kommt, wird man abwarten m\u00fcssen. Malwarebytes scheint mit einem 'blauen Auge' davon gekommen zu sein. Weitere Details lassen sich ggf. in <a href=\"https:\/\/web.archive.org\/web\/20220725055429\/https:\/\/blog.malwarebytes.com\/malwarebytes-news\/2021\/01\/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments\/\" target=\"_blank\" rel=\"noopener\">der Malwarebytes-Verlautbarung<\/a> nachlesen.<\/p>\n<h2>Angreifer verschleiern Dropper per 7-Zip<\/h2>\n<p>Die Sicherheitsforscher von Symantec beschreiben in <a href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/solarwinds-raindrop-malware\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a>, dass man ein zus\u00e4tzliches St\u00fcck Malware aufgedeckt habe. Dieses wurde bei den SolarWinds-Angriffen verwendet und gegen eine ausgew\u00e4hlte Anzahl von Opfern eingesetzt, die f\u00fcr die Angreifer von Interesse waren.<\/p>\n<p>Symantec nennt die Malware Raindrop (Backdoor.Raindrop), das ist ein Loader, der eine Nutzlast von Cobalt Strike liefert. Raindrop ist dem bereits dokumentierten Teardrop-Tool sehr \u00e4hnlich, aber es gibt einige wichtige Unterschiede zwischen den beiden.<\/p>\n<ul>\n<li>W\u00e4hrend Teardrop von der urspr\u00fcnglichen Sunburst-Backdoor (Backdoor.Sunburst) geliefert wurde, scheint Raindrop f\u00fcr die Verbreitung im Netzwerk des Opfers verwendet worden zu sein.<\/li>\n<li>Symantec hat bisher keine Beweise daf\u00fcr gefunden, dass Raindrop direkt von Sunburst verbreitet wurde. Stattdessen taucht er an anderer Stelle in Netzwerken auf, in denen mindestens ein Computer bereits von Sunburst kompromittiert wurde.<\/li>\n<\/ul>\n<p>Bei einem Opfer wurde Anfang Juli 2020 SunBurst \u00fcber das SolarWinds Orion-Update installiert. Das ist ausf\u00fchrlich dokumentiert, beim Opfer wurden zwei Computer auf diese Weise kompromittiert. Am folgenden Tag wurde dann Teardrop auf einem dieser Computer installiert. Auf diesem System wurde dann bei der Analyse festgestellt, dass ein Active Directory-Abfragetool sowie ein speziell f\u00fcr SolarWinds Orion-Datenbanken entwickelter Credential Dumper installiert war. Der Credential Dumper \u00e4hnelte dem Open-Source-Tool Solarflare.<\/p>\n<p>Elf Tage sp\u00e4ter wurde auf einem System des Opfers des SolarWinds-Angriffs, auf dem zuvor keine b\u00f6swilligen Aktivit\u00e4ten beobachtet worden waren, eine Kopie der zuvor unentdeckten Raindrop-Malware unter dem Namen <em>bproxy.dll <\/em>installiert. Auf diesem Computer lief eine Computerzugriffs- und Verwaltungssoftware. Die Angreifer h\u00e4tten diese Software nutzen k\u00f6nnen, um auf jeden der Computer in der kompromittierten Organisation zuzugreifen.<\/p>\n<p>Eine Stunde sp\u00e4ter installierte die Raindrop-Malware eine zus\u00e4tzliche Datei namens \"7z.dll\". Die Symantec-Sicherheitsforscher konnten diese Datei nicht mehr abrufen (war wohl schon wieder gel\u00f6scht). Aber innerhalb weniger Stunden, schreibt man, wurde eine legitime Version von 7zip verwendet, um eine Kopie von scheinbar Directory Services Internals (DSInternals) auf den Computer zu extrahieren. DSInternals ist ein legitimes Tool, das zur Abfrage von Active Directory-Servern und zum Abrufen von Daten, typischerweise Passw\u00f6rter, Schl\u00fcssel oder Passwort-Hashes, verwendet werden kann.<\/p>\n<p>Ein zus\u00e4tzliches Tool namens mc_store.exe wurde sp\u00e4ter von den Angreifern auf diesem Computer installiert. Bei dem Tool handelt es sich um eine unbekannte, mit PyInstaller gepackte Anwendung. Es wurden keine weiteren Aktivit\u00e4ten auf diesem Computer beobachtet.<\/p>\n<p><img decoding=\"async\" title=\"Zeitlicher Ablauf des SunBurst-Angriffs\" src=\"https:\/\/i.imgur.com\/BI3STuT.png\" alt=\"Zeitlicher Ablauf des SunBurst-Angriffs\" \/><br \/>\nZeitlicher Ablauf des SunBurst-Angriffs, Quelle: Symantec<\/p>\n<p>Symantec hat obige Grafik ver\u00f6ffentlicht, die den zeitlichen Ablauf des Angriffs auf dem System des Opfers aufzeigt. Im <a href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/solarwinds-raindrop-malware\" target=\"_blank\" rel=\"noopener\">Blog-Beitrag<\/a> werden weitere Szenarien von Angriffen bei weiteren Opfern beschrieben. Neu ist, dass eine weitere Malware, die \u00fcber 7-Zip komprimiert und damit m\u00f6glicherweise getarnt wurde, zum Einsatz kam.<\/p>\n<h2>Zum Hintergrund<\/h2>\n<p>Seit Dezember 2020 ersch\u00fcttert ja eine gro\u00df angelegte Hacker-Kampagne die IT-Welt, speziell der USA aber auch anderer L\u00e4nder. Mutma\u00dflich staatlichen Hackern war es gelungen, eine Backdoor in die SolarWinds Orion-Software einzuschleusen. Diese SolarBurst-Backdoor wurden dann mit einem regul\u00e4ren SolarWinds Orion-Software-Update an 18.000 Kunden ausgeliefert. Die Orion-Software wird von vielen Beh\u00f6rden und Unternehmen eingesetzt.<\/p>\n<p>Inzwischen ist bekannt, dass die Akteure \u00fcber diese Backdoor, aber auch \u00fcber weitere Malware \u00fcber 100 US-Beh\u00f6rden und Firmen gehackt haben, um dort Informationen abzugreifen. Die Hacker konnten sich \u00fcber Monate unentdeckt in den Netzwerken der Opfer bewegen. Der Fall wurde bekannt, weil die Hacker die sogenannten Red-Team-Tools des Sicherheitsanbieters FireEye bei einem Hack entwendeten und dieser Angriff einem Angestellten des Unternehmens auffiel. Nachfolgende Artikel enthalten weitere Informationen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/09\/fireeye-wenn-hacker-eine-sicherheitsfirma-plndern\/\">FireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/14\/us-finanzministerium-und-weitere-us-behrde-gehackt\/\">US-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/15\/solarwinds-sunburst-schwachstelle-die-folgen-und-schutzmanahmen\/\">SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/14\/solarwinds-produkte-mit-sunburst-backdoor-ursache-fr-fireeye-und-us-behrden-hacks\/\">SolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/17\/sunburst-malware-analyse-tool-solarflare-ein-kill-switch-und-der-einstein-berwachungsflopp\/\">SUNBURST-Malware: Analyse-Tool SolarFlare, ein \u201aKill-Switch' und der Einstein-\u00dcberwachungsflopp<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/15\/schlamperei-bei-solarwinds-fr-kompromittierte-software-verantwortlich\/\">Schlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/16\/neues-im-kampf-gegen-die-sunburst-infektion-domain-beschlagnahmt\/\">Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/17\/sunburst-malware-wurde-in-solarwinds-quellcode-basis-eingeschleust\/\">SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/18\/sunburst-hack-auch-us-atomwaffenbehrde-gehackt-neue-erkenntnisse\/\">SUNBURST: Auch US-Atomwaffenbeh\u00f6rde gehackt, neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/18\/solarwinds-hack-auch-microsoft-co-betroffen\/\">SolarWinds-Hack: Auch Microsoft &amp; Co. betroffen?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/20\/sunburst-hack-microsofts-analysen-und-neues\/\">SUNBURST-Hack: Microsofts Analysen und Neues<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/12\/21\/solarwinds-systeme-mit-2-backdoor-gefunden\/\">SolarWinds-Systeme mit 2. Backdoor gefunden<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/02\/solarwinds-hacker-hatten-zugriff-auf-microsoft-quellcode\/\">SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/04\/solarwinds-hack-motive-der-angreifer-outsourcing-als-schwachstelle\/\">SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/06\/gibt-es-deutsche-opfer-des-solarwinds-hacks\/\">Gibt es deutsche Opfer des SolarWinds-Hacks?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/08\/neues-vom-solarwinds-hack-jetbrains-software-als-einfallstor\/\">Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/12\/kaspersky-solarwinds-sunburst-backdoor-gleicht-russischer-atp-malware\/\">Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/01\/14\/solarleaks-bietet-angeblich-sourcecode-von-cisco-microsoft-und-solarwinds-an\/\">SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Auch der Sicherheitsanbieter Malwarebytes hat jetzt bekannt gegeben, dass seine Office 365- und Azure-Systeme vom gleichen Angreifer, der f\u00fcr die SolarWinds-Attacken verantwortlich ist, gehackt wurden. Allerdings erfolgt der Angriff nicht \u00fcber die Sunburst-Backdoor in der SolarWinds Orion-Software, sondern \u00fcber eine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/01\/20\/auch-malwarebytes-von-den-solarwinds-angreifern-erfolgreich-gehackt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-242567","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=242567"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242567\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=242567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=242567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=242567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}