Das Threat-Intelligence-Team der Arctic Wolf Labs haben neue schadhafte Aktivitäten beobachtet. Diese stehen im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in der Cleo-Managed-File-Transfer (MFT) -Software.
Im Dezember 2024 beobachtete Arctic Wolf Labs eine Mass-Exploitation-Kampagne, bei der Cleo-MFT-Lösungen für den unberechtigten Fernzugriff genutzt wurden. Die Ausführungskette umfasste einen verschleierten Powershell-Stager, einen Java-Loader sowie eine Java-basierte Backdoor, die Arctic Wolf als „Cleopatra“ bezeichnet.
Wichtige Erkenntnisse von Arctic Wolf:
- Cleo-MFT-Produkte wurden von Cyberkriminellen ausgenutzt, um einen bösartigen Powershell-Stager zu implementieren, der in der Ausführung einer Java-basierten Backdoor gipfelte.
- Die Bedrohungskampagne begann am 7. Dezember 2024 und läuft derzeit noch.
- Die Cleopatra-Backdoor unterstützt die In-Memory-Dateispeicherung und ist für die plattformübergreifende Unterstützung von Windows und Linux konzipiert. Sie implementiert Funktionen für den Zugriff auf Daten, die speziell in der Cleo-MFT-Software gespeichert sind.
- Obwohl viele IP-Adressen als C2-Ziele verwendet wurden, ging das Scannen der Schwachstellen nur von zwei IP-Adressen aus.
Zu den Erkenntnissen von Huntress konnte Arctic Wolf folgende Informationen ergänzen:
- Eine visuelle Zeitleiste der Exploitation-Cluster.
- Einsicht in die beiden IP-Adressen, die bei allen Angriffen, auf die Arctic Wolf reagiert hat, den Angriff initiierten.
- Verknüpfung der HTTP-Aktivitäten von bekannten Angreifern mit dem schadhaften Powershell-Befehl und einem gescheiterten Versuch der Ausgabeumleitung.
- Cleo-spezifische Funktionen innerhalb der von Arctic Wolf Cleopatra genannten Backdoor.
- Einblicke in zusätzliche Cleopatra-Funktionen wie die In-Memory-Dateispeicherung.
Info: Weitere Informationen zum Thema finden sich hier im Arctic Wolf-Blog: https://arcticwolf.com/resources/blog/cleopatras-shadow-a-mass-exploitation-campaign/
#ArcticWolf
