DE
DE EN
DE
DE EN
Kontakt
Anmeldung
Themen
Finanzen & Versicherung
Handel
Industrie
IT & Beratung
Tourismus
Transport
Recht
Öffentlich

Cleo 0-Day-Schwachstelle wird zur Verbreitung von Malichus-Malware ausgenutzt

0
Teilen:

Cybersecurity-Forscher haben eine ausgeklügelte Exploit-Kampagne aufgedeckt, die eine Zero-Day-Schwachstelle (0-Day-Schwachstelle) in Cleo-Softwareplattformen zur Dateiübertragung ausnutzt.

Diese Kampagne wurde genutzt, um eine neu identifizierte Malware-Familie auszuliefern, die jetzt als "Malichus" bezeichnet wird.

Die Bedrohung, die kürzlich von Huntress analysiert und von anderen Branchenanbietern bestätigt wurde, weist eine erhebliche technische Komplexität auf, die in der Cybersicherheits-Community aufgrund ihrer potenziellen Auswirkungen auf Unternehmen, die sich beim sicheren Dateiaustausch auf Cleo-Technologien verlassen, Alarm schlägt.

<imgÜberblick über den Angriff
Überblick über den Angriff

Cleo 0-Day-Schwachstelle

Cleo, das häufig für die Übertragung und Integration von Unternehmensdaten verwendet wird, wurde von Angreifern ins Visier genommen, die eine bisher unbekannte Schwachstelle ausnutzten, um Systeme zu kompromittieren.

Die Ausnutzung dieses 0-Day ermöglicht es Angreifern, Malichus einzusetzen, ein modulares Malware-Framework mit fortschrittlichen Funktionen, die auf Exfiltration, Aufklärung und Post-Exploitation-Operationen abzielen.

2024 MITRE ATT&CK-Bewertungsergebnisse für KMUs und MSPs -> Kostenloser Leitfaden herunterladen

Der Name "Malichus" bezieht sich auf Malichus I., einen historischen Gegenspieler Kleopatras, der für seine kalkulierten Racheakte bekannt war, und passt zur zerstörerischen und strategischen Natur der Malware. Der Angriff erfolgt in einem mehrstufigen Prozess:

  1. Ersteinstieg mit PowerShell-Downloader
  2. Java-basierte Second-Stage-Downloader
  3. Einsatz eines modularen Post-Exploitation Frameworks

In jeder Phase werden maßgeschneiderte Techniken eingesetzt, um eine Entdeckung zu vermeiden, einer Analyse zu entgehen und die Systemkontrolle zu maximieren.

Technische Anatomie der Malichus-Malware

Die Malichus-Malware-Familie zeichnet sich durch einen dreistufigen Bereitstellungsprozess aus, der sorgfältig darauf ausgelegt ist, eine zuverlässige Command-and-Control (C2)-Kommunikation aufzubauen, die Persistenz aufrechtzuerhalten und ein breites Spektrum an bösartigen Aktivitäten zu ermöglichen.

Stufe 1: PowerShell-Downloader

<img Formatiertes PowerShell-Downloader-Skript der Stufe 1
Formatiertes PowerShell-Downloader-Skript der Stufe 1

In der ersten Phase wird ein kleines PowerShell-Skript verwendet, das als Lader fungiert. Dieses Skript ist mit Base64-Kodierung und Funktionen zur Verschleierung versehen:

  • Dekodieren und Ausführen einer Java-Archivdatei (JAR) im Format cleo.[unique-identifier].
  • Stellen Sie eine TCP-Verbindung zum C2-Server her, um die Nutzdaten der zweiten Stufe abzurufen.
  • Dynamische Zuweisung von C2-Adressen und Opferidentifikatoren über eine "Query"-Variable, um die Flexibilität bei verschiedenen Infektionen zu erhalten.

Diese Phase gewährleistet die schnelle Einrichtung des Hosts für weitere Angriffe und ist gleichzeitig so leicht, dass sie Endpunkt-Erkennungssystemen entgeht.

Stufe 2: Java-Downloader

<imgJava Downloader MANIFEST.MF Datei
Java Downloader MANIFEST.MF Datei

Die zweite Stufe umfasst einen Java-basierten Downloader, der für das Abrufen der endgültigen Nutzlast verantwortlich ist. Dieser Downloader:

  • Entschlüsselt heruntergeladene Komponenten mit eindeutigen AES-Schlüsseln pro Nutzlast, um eine angriffsspezifische Verschlüsselung zu gewährleisten.
  • Repariert beschädigte Zip-Dateien als Teil seines Mechanismus zur Bereitstellung von Nutzdaten.
  • Löst Klassendateien innerhalb des entschlüsselten Archivs dynamisch auf, um Stufe 3 zu starten.

Die Implementierung benutzerdefinierter Routinen, wie z. B. das Parsen von Umgebungsvariablen und die verschlüsselte C2-Kommunikation, zeigt, dass die Malware-Autoren großen Wert auf Tarnung und Anpassungsfähigkeit legen.

Stufe 3: Modularer Nachnutzungsrahmen

<imgDekompilierung der Klasse Cli mit Zuweisung von Variablen vor der Ausführung der Methode run
Dekompilierung der Klasse Cli mit Zuweisung von Variablen vor der Ausführung der Methode run

Die letzte Stufe ist ein Java-basiertes Framework, das aus neun verschiedenen Klassendateien besteht und umfassende Funktionen für die Ziele des Angreifers bereitstellt. Zu den wichtigsten Komponenten dieses Frameworks gehören:

  1. Cli-Klasse
    • Erleichtert die C2-Kommunikation, einschließlich Warteschlangenverbindungen an Port 443.
    • Löscht Spuren früherer Payloads mit plattformspezifischen Befehlen (z. B. PowerShell oder Bash).
    • Protokolliert die Aktivitäten zur Fehlersuche und Betriebsverfolgung.
  2. Proc Klasse
    • Führt Befehle auf dem kompromittierten System aus, einschließlich interaktiver Shell-Sitzungen.
    • Analysiert Cleo-Konfigurationsdateien, um Handelsbeziehungen und sensible Datenpositionen aufzudecken.
  3. Dwn-Klasse
    • Ermöglicht die Exfiltration von Dateien durch Komprimieren, Verpacken und Hochladen ausgewählter Verzeichnisse auf C2.
    • Verfolgt Status und Fortschritt von Exfiltrationsaufgaben dynamisch.
  4. Benutzerdefiniertes C2-Protokoll
    Malichus verwendet ein vollständig benutzerdefiniertes C2-Kommunikationsprotokoll, das Paketintegritätsprüfungen (CRC32) und Verschlüsselungsroutinen umfasst und einen sicheren Datenaustausch zwischen infizierten Hosts und Angreifern gewährleistet. Spezielle Pakettypen, wie z. B. "Hallo"- und "Zip"-Pakete, vereinfachen die operative Kontrolle und Exfiltrationsverfahren.

Das modulare Design und der umfangreiche Funktionsumfang von Malichus weisen auf einen maßgeschneiderten Ansatz für Unternehmen hin, die Cleo-Software einsetzen, insbesondere in Branchen, in denen sichere Dateiübertragung und Geschäftsintegration von entscheidender Bedeutung sind.

Durch die Kenntnis der Konfigurationsstruktur von Cleo kann die Schadsoftware diese ausnutzen:

  1. Ermittlung der Beziehungen zwischen Handelspartnern.
  2. Suchen Sie Verzeichnisse mit ausgetauschten Dateien.
  3. Ausnutzung sensibler Daten für weitere Angriffe oder finanzielle Gewinne.

Ein besonderes Problem ist die Anpassungsfähigkeit von Malichus. Die Unterstützung mehrerer Plattformen (Windows und Linux), die dynamische C2-Behandlung und die verschlüsselten Paketprotokolle machen die Erkennung und Eindämmung für Standard-Cybersicherheitsabwehrsysteme schwierig.

Die 0-Day-Schwachstelle Cleo, die zur Verbreitung der Malichus-Malware ausgenutzt wurde, verdeutlicht die sich ständig weiterentwickelnden Taktiken von Cyberkriminellen, die es auf wichtige Unternehmenssysteme abgesehen haben.

Malichus stellt einen ausgeklügelten und gezielten Angriff dar, der die sofortige Aufmerksamkeit von Unternehmen erfordert, die sich auf Cleo-Software verlassen.

Quelle

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

lade-bild
London, GB
1:24 am, Jan. 15, 2025
Wetter-Symbol 9°C
L: 8° | H: 9°
overcast clouds
Luftfeuchtigkeit: 92 %
Druck: 1034 mb
Wind: 8 mph WSW
Windböe: 0 mph
UV-Index: 0
Niederschlag: 0 mm
Wolken: 100%
Regen Chance: 0%
Sichtbarkeit: 6 km
Sonnenaufgang: 7:59 am
Sonnenuntergang: 4:20 pm
TäglichStündlich
Tägliche VorhersageStündliche Vorhersage
Today 9:00 pm
Wetter-Symbol
8° | 9°°C 0 mm 0% 3 mph 97 % 1035 mb 0 mm/h
Tomorrow 9:00 pm
Wetter-Symbol
5° | 9°°C 0 mm 0% 4 mph 97 % 1034 mb 0 mm/h
Fr. Jan. 17 9:00 pm
Wetter-Symbol
3° | 7°°C 0 mm 0% 4 mph 91 % 1035 mb 0 mm/h
Sa. Jan. 18 9:00 pm
Wetter-Symbol
2° | 7°°C 0 mm 0% 4 mph 87 % 1034 mb 0 mm/h
So. Jan. 19 9:00 pm
Wetter-Symbol
2° | 6°°C 0 mm 0% 4 mph 88 % 1025 mb 0 mm/h
Today 3:00 am
Wetter-Symbol
6° | 8°°C 0 mm 0% 3 mph 94 % 1034 mb 0 mm/h
Today 6:00 am
Wetter-Symbol
6° | 7°°C 0 mm 0% 2 mph 96 % 1034 mb 0 mm/h
Today 9:00 am
Wetter-Symbol
6° | 6°°C 0 mm 0% 3 mph 97 % 1035 mb 0 mm/h
Today 12:00 pm
Wetter-Symbol
9° | 9°°C 0 mm 0% 2 mph 88 % 1035 mb 0 mm/h
Today 3:00 pm
Wetter-Symbol
9° | 9°°C 0 mm 0% 3 mph 88 % 1034 mb 0 mm/h
Today 6:00 pm
Wetter-Symbol
7° | 7°°C 0 mm 0% 3 mph 96 % 1034 mb 0 mm/h
Today 9:00 pm
Wetter-Symbol
6° | 6°°C 0 mm 0% 2 mph 97 % 1034 mb 0 mm/h
Tomorrow 12:00 am
Wetter-Symbol
6° | 6°°C 0 mm 0% 3 mph 96 % 1034 mb 0 mm/h
Wetter von OpenWeatherMap
Name Preis24H (%)
Bitcoin(BTC)
€94,044.60
2.38%
Ethereum(ETH)
€3,126.85
2.49%
XRP(XRP)
€2.61
5.70%
Fesseln(USDT)
€0.97
-0.01%
Solana(SOL)
€181.89
2.44%
Dogecoin(DOGE)
€0.348878
4.93%
USDC(USDC)
€0.97
0.00%
Shiba Inu(SHIB)
€0.000021
2.19%
Pepe(PEPE)
€0.000016
2.61%
Peanut das Eichhörnchen(PNUT)
€0.60
4.05%
Erkennen und überwachen Sie IT-Schwachstellen mit nur einem Klick, bevor es zu spät ist.

Verbindung zum Dienstprogramm

Nützlicher Link

Newsletter

Folgen Sie uns

Facebook Twitter Youtube Linkedin

© 2025 risikomonitor.com gmbh

Nach oben scrollen