Massiver Cyberangriff auf Australien nutzt Cryptojacking-Explosionen

Massiver Cyberangriff auf Australien nutzt Cryptojacking-Explosionen

Ein Bericht des australischen Cyber-Sicherheitszentrums weist auf eine Schwachstelle im Zusammenhang mit Angriffen mit Cryptojacking-Malware hin.

Das Australische Cyber-Sicherheitszentrum erklärte, dass eine Gruppe „staatlicher Akteure“ am 19. Juni australische Netzwerke gehackt habe und dass eine der von ihnen ausgenutzten Schwachstellen mit Krypto-Jacking-Angriffen auf Malware zusammenhänge. Der Anbieter Crypto Trader ist sehr sicher und hat vorher schon gute Anwendungen getroffen.  Laut dem 48-seitigen Bericht, der am 24. Juni veröffentlicht wurde, nutzten die Bedrohungsakteure vier kritische Schwachstellen in Telerik UI aus, darunter CVE-2019-18935, die kürzlich von der Blue Mockingbird-Malware-Gang ausgenutzt wurde, um Tausende von Systemen mit XMRRig, einer Monero (XMR)-Mining-Software, zu infizieren.

Schwachstelle, die hauptsächlich für Cryptojacking verwendet wird

Obwohl in dem Gutachten nicht gesagt wurde, ob Hacker während des jüngsten massiven Cyberangriffs Cryptojacking-Malware installiert haben könnten, wird eine solche Schwachstelle von den Cyberkriminellen für die Installation von Crypto-Mining-Anwendungen in Unternehmensnetzwerken bevorzugt.

Der Bericht erläutert die CVE-2019-18935-Schwachstelle, die auch Ähnlichkeiten mit denjenigen aufweist, die Cointelegraph über den Angriff der Blue Mockingbird berichtete, obwohl dies nicht bedeutet, dass eine solche Bande an dem Cyberattack gegen Australien beteiligt war:

„Andere Exploit-Nutzlasten wurden vom ACSC am häufigsten identifiziert, wenn der Versuch des Akteurs, eine umgekehrte Hülle zu verwenden, erfolglos war. Dazu gehörten: eine Nutzlast, die versuchte, eine PowerShell-Reverse-Shell auszuführen; eine Nutzlast, die versuchte, certutil.exe auszuführen, um eine andere Nutzlast herunterzuladen; eine Nutzlast, die binäre Malware ausführte (in diesem Advisory als HTTPCore bezeichnet), die zuvor vom Akteur hochgeladen wurde, aber keinen Persistenzmechanismus hatte; eine Nutzlast, die den absoluten Pfad des Web-Root aufzählte und diesen Pfad in eine Datei innerhalb des Web-Root schrieb.

Stehen staatlich unterstützte chinesische Hacker-Gruppen hinter dem Angriff?

Fast 10 chinesische Hacker-Gruppen – die an Spionageaktivitäten beteiligt sind und angeblich Verbindungen zur chinesischen Regierung haben – haben die PlugX-Malware zu ihren Waffen genommen, die zu den im Bericht der australischen Regierung identifizierten Schadprogrammen gehörte.

Einige australische Beamte haben angedeutet, dass China hinter dem massiven Cyberangriff stecken könnte, da die diplomatischen Probleme zwischen den beiden Ländern zugenommen haben. Es hieß, der Angriff könnte erfolgt sein, nachdem Australien eine Untersuchung laut Crypto Trader über den Ursprung des COVID-19-Virus beantragt hatte, was von den Beamten der Drachennation nicht gut aufgenommen wurde, da sie es als „diskriminierende“ Anschuldigung betrachteten und mit Handelsvergeltungsmaßnahmen gegen das ozeanische Land reagierten.

Die chinesische Regierung hat die Vorwürfe zurückgewiesen.