Microsoft SharePoint-Schwachstelle und China Chopper Web-Shell für Ransomware-Angriffe genutzt

Cyber Security News

Microsoft hat das Advisory zur SharePoint-Schwachstelle (CVE-2019-0604) veröffentlicht und die Lücke im Jahr 2019 gepatcht. (Foto: Jeenah Moon/Getty Images)

Forscher fanden am Dienstag heraus, dass die Hello-Ransomware-Gruppe (auch bekannt als WickrMe) eine Microsoft SharePoint-Schwachstelle und eine China Chopper-Web-Shell nutzt, um Ransomware-Angriffe zu starten.

In einem Blog von Trend Micro berichten die Forscher, dass die Angreifer einen Cobalt Strike Beacon missbrauchen, um eine Ransomware-Nutzlast zu zünden. Die Forscher glauben, dass die China Chopper-Web-Shell in einem wahrscheinlichen Versuch verwendet wurde, um die Erkennung mit bekannten Mustern zu umgehen.

Microsoft hat das Advisory zur SharePoint-Schwachstelle (CVE-2019-0604) veröffentlicht und die Lücke bereits im Jahr 2019 gepatcht. Seit dem ersten Missbrauch und prominenten Angriff im Jahr 2020 hat der bemerkenswerte Missbrauch der Sicherheitslücke weiterhin für Schlagzeilen gesorgt.

Die Forscher sagten, dass die Verwendung sowohl des Exploits als auch der China Chopper-Web-Shells zusammen für unterschiedliche Angriffsroutinen beobachtet wurde und die Frage aufwirft, ob die Kombination der beiden Tools auf ein bestimmtes Zugangsniveau bei den Cyberkriminellen hinweist, die sie verwenden, oder ob es mehr Beteiligte gibt, die in der Lage sind, den Zugang von mehreren Personen zu kaufen?

“Es ist auch erwähnenswert, dass zwei Jahre später der fortgesetzte Missbrauch der Sicherheitslücke stark darauf hindeutet, dass eine große Anzahl von Unternehmen die Lücke immer noch nicht gepatcht hat”, so die Forscher.

Chris Morales, Chief Information Security Officer bei Netenrich, fand es erstaunlich, dass bei all der Technologie für maschinelles Lernen und Angriffs-Frameworks, über die die Sicherheitsindustrie gerne spricht, Angreifer immer noch gewinnen können, indem sie eine einfache kleine Kommandozeilen-Web-Shell verwenden, die es schon seit fast einem Jahrzehnt gibt.

“China Chopper wurde bei der Equifax-Verletzung verwendet, Jahre nachdem es eine bekannte Technik war”, sagte Morales. “Ich bin sicher, dass Anbieter auftauchen werden, die behaupten, dass sie die Verwendung von China Chopper verhindern können. Das mag wahr sein, doch hier sind wir mit Varianten, die immer noch im Einsatz sind.”

Obwohl es sich um einen neuen Angriffsvektor handelt, ist der von den Angreifern verwendete Übertragungsmechanismus nicht neu, so Charles Everette, Director of Customer Success bei Deep Instinct.

Everette sagte, die Technik nutzt Arbitrary Code Execution (ACE), eine Form der Remote-Code-Injektion, die dann in der Regel auf “normalere” und archaische Mittel der Verwendung von Skripten zurückgreift. “Unserer Erfahrung nach ist die Web-Shell eine verherrlichte Art und Weise, ein Skript (üblicherweise PowerShell) auszuführen, das dann versucht, anderen bösartigen Code wie CobaltStrike Beacon nach unten zu ziehen”, so Everette.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com