Cybersecurity-Experten von ASEC haben eine neue Bedrohungslage für Unternehmen aufgedeckt. Die MultiRDP-Malware ermöglicht es mehreren Angreifern, gleichzeitig über das Remote Desktop Protocol (RDP) Verbindungen aufzubauen. Dies erhöht das Risiko unautorisierten Zugriffs auf Computernetzwerke, das vollständige Übernehmen von Systemen, das Extrahieren sensibler Daten und das Einschleusen weiterer Malware.
Verbreitung und Auswirkung
Die MultiRDP-Malware wurde erstmals im November 2023 im Rahmen von Angriffen gegen südkoreanische Unternehmen, darunter Verteidigungsunternehmen, Autozulieferer und Halbleiterhersteller, identifiziert. Diese Angriffe, die anfänglich mit der Kimsuky-Gruppe in Verbindung gebracht wurden, nutzen nun eine raffinierte Technik, die Software-Updater für die laterale Bewegung innerhalb der Netzwerke einsetzt und Andariels DurianBeacon Backdoor installiert.
Erneute Angriffswelle im Februar 2024
Im Februar 2024 wurde eine Veränderung im Endpayload festgestellt. Der SmallTiger-Downloader ersetzte die vorherigen Schadsoftware-Komponenten. Diese Anpassung der Angriffstaktiken zeigt, wie sich Bedrohungsakteure an die Sicherheitsmaßnahmen der Zielindustrien anpassen.
Einsatz von MultiRDP und Meterpreter
Die Angriffe nutzen die MultiRDP-Malware, um mehrere RDP-Verbindungen zu ermöglichen und den Metasploit Meterpreter-Backdoor für den Zugriff auf die Systeme zu verwenden. Für die laterale Bewegung setzten die Angreifer den als „mozillasvcone“ bekannten Service ein, der eine verschlüsselte DLL lud. Diese DLL entschlüsselte und führte weitere Dateien direkt im Speicher aus.
Neue Malware-Varianten und Verteidigungsstrategien
Mit der Einführung neuer Liefermechanismen und der aktiven Nutzung bekannter Malware wie DurianBeacon und SmallTiger sowie der Einführung neuer Features unterstreicht die aktuelle Bedrohungslage die Notwendigkeit, ständig die Sicherheitsmaßnahmen zu überwachen und zu aktualisieren.
Unternehmen sind dringend dazu aufgerufen, ihre Sicherheitsüberwachung zu verbessern und alle bekannten Schwachstellen umgehend zu beheben. Nutzer sollten zudem darauf achten, keine unbekannten E-Mail-Anhänge zu öffnen oder ausführbare Dateien aus unsicheren Quellen herunterzuladen, da diese SmallTiger enthalten könnten.
Die fortlaufende Anpassung und Verbreitung von MultiRDP und verwandten Malware-Komponenten erfordert eine kontinuierliche Weiterentwicklung der Abwehrstrategien. Angesichts dieser Bedrohungen ist es entscheidend, dass Unternehmen ihre Verteidigungssysteme stärken und auf dem neuesten Stand halten.