Exchange-Lücke wurde automatisiert ausgenutzt

Große Angriffs-Kampagne vermutet

Es scheint, dass dies nur ein Vorfall in einer groß angelegten Kampagne ist, die entweder von einem einzelnen Hacker oder mehreren Angreifern mit einem gemeinsamen Tool-Set durchgeführt wurde. Unit 42 fand 177 Webshells, die mehrere gemeinsame Attribute und ein ähnliches Verhalten wie diese Webshell aufwiesen, welche die Angreifer bei diesem Vorfall verwendet haben. Die Unternehmen, die von diesen verwandten Webshells betroffen waren, gehörten verschiedenen Branchen und geografischen Standorten an, was darauf hindeutet, dass die Akteure opportunistisch agieren und wahrscheinlich nach Exchange-Server scannen, die kompromittiert werden sollen, anstatt eine feste Liste von Zielen abzuarbeiten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Hintergrund: Was ist China Chopper?

China Chopper ist eine Web-Shell mit einer Größe von etwa 4 Kilobyte, die erstmals im Jahr 2012 entdeckt wurde. Diese Web-Shell wird häufig von böswilligen Akteuren aus China agierend, einschließlich APT-Gruppen (Advanced Persistent Threats), verwendet, um Webserver aus der Ferne zu steuern. Diese Web-Shell besteht aus zwei Teilen, der Client-Schnittstelle (einer ausführbaren Datei) und der Empfänger-Hostdatei auf dem kompromittierten Webserver.

China Chopper verfügt über viele Befehle und Kontrollfunktionen, etwa eine Brute-Force-Angriffsoption für Passwörter, Code-Verschleierung, Datei- und Datenbankverwaltung und eine grafische Benutzeroberfläche. Ursprünglich wurde es über die Website www.maicaidao.com verbreitet, die jetzt nicht mehr verfügbar ist. Fireeye deckte auf, dass der Client dieser Web-Shell in Microsoft Visual C++ 6.0 programmiert ist.

Anfang 2021 wurde eine in JScript programmierte Version der Web-Shell von der Advanced Persistent Threat-Gruppe Hafnium verwendet, um vier Zero-Day-Schwachstellen in Microsoft Exchange Server auszunutzen. Diese Web-Shell wird nach dem Ausnutzen der Schwachstelle fallen gelassen, wodurch Angreifer ein Programm hochladen können, das mit Administratorrechten ausgeführt wird. Mit nur der Adresse der .aspx-Datei, die das Skript enthält, kann eine HTTP-POST-Anfrage an das Skript mit nur einem Befehl in der Anfrage gestellt werden, was das Skript veranlasst, den Befehl sofort mit der JScript-Funktion 'eval' auszuführen, wodurch Angreifer beliebigen Code auf dem Server ausführen können.

1. Exchange-Lücke wurde automatisiert ausgenutzt
2. Große Angriffs-Kampagne vermutet

Lesen Sie mehr zum Thema

Weitere Artikel zu Microsoft GmbH

Blockade von E-Mail-Konten

Microsoft will keine Konten mehr sperren

Stärkung des MSP-Geschäfts

Proofpoint übernimmt Hornetsecurity

Microsoft 365 und Cloud-Apps

Indeno übernimmt Vertrieb und Betrieb der Eperi-Plattform

Alle Regionen und Ebenen betroffen

Microsoft streicht Tausende Arbeitsplätze

Microsoft Power Women Awards 2025

Vorjahresgewinnerin Hanke: „Auf geht's!“

Weitere Artikel zu Palo Alto Networks GmbH

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Weitere Artikel zu E-Mail

E-Mail-Schutz und Cloud-Backup

Infinigate Cloud: Flexible Barracuda-Sicherheitslösungen im Abo

Was Massenversender beachten sollten

E-Mail-Authentifizierungsrichtlinien von Google und Yahoo

E-Mail-Konten des IWF gehackt

Internationaler Währungsfonds wird Opfer von Cyberattacke

Verified Mark Certificates

Stärkung der E-Mail-Sicherheit und Markenkommunikation

PSW Group: Achtung bei S/MIME

Neuer S/MIME-Standard seit September 2023