TOKIO / LONDON (IT BOLTWISE) – In einer alarmierenden Entwicklung haben Cybersecurity-Forscher Details zu einer neuen Malware namens MDifyLoader veröffentlicht, die in Verbindung mit Angriffen steht, die Sicherheitslücken in Ivanti Connect Secure (ICS) Appliances ausnutzen.
Die jüngsten Enthüllungen von Cybersecurity-Experten werfen ein Schlaglicht auf die zunehmende Bedrohung durch gezielte Cyberangriffe, die Schwachstellen in Ivanti Connect Secure (ICS) Appliances ausnutzen. Im Mittelpunkt dieser Angriffe steht die neu entdeckte Malware MDifyLoader, die von Angreifern eingesetzt wird, um Cobalt Strike in den Speicher zu laden und so unbemerkt schädliche Aktivitäten durchzuführen. Diese Angriffe konzentrieren sich auf die Ausnutzung der Sicherheitslücken CVE-2025-0282 und CVE-2025-22457, die zwischen Dezember 2024 und Juli 2025 beobachtet wurden.
Die Schwachstelle CVE-2025-0282 ermöglicht eine nicht authentifizierte Remote-Code-Ausführung und wurde von Ivanti im Januar 2025 behoben. Die zweite Schwachstelle, CVE-2025-22457, betrifft einen stack-basierten Pufferüberlauf, der zur Ausführung beliebigen Codes genutzt werden kann und im April 2025 gepatcht wurde. Trotz der Patches wurden beide Schwachstellen bereits als Zero-Days in der Wildnis ausgenutzt, um Malware wie SPAWNCHIMERA und DslogdRAT zu verbreiten.
Die Angreifer nutzen raffinierte Techniken wie das DLL-Side-Loading, um MDifyLoader zu starten, das eine verschlüsselte Cobalt Strike Beacon-Payload enthält. Diese Payload wurde als Version 4.5 identifiziert, die ursprünglich im Dezember 2021 veröffentlicht wurde. MDifyLoader basiert auf dem Open-Source-Projekt libPeConv und lädt eine verschlüsselte Datei, die den Cobalt Strike Beacon dekodiert und im Speicher ausführt.
Zusätzlich setzen die Angreifer auf ein Go-basiertes Remote-Access-Tool namens VShell und ein weiteres Open-Source-Netzwerk-Scan-Utility namens Fscan, das ebenfalls in Go geschrieben ist. Beide Programme wurden in den letzten Monaten von verschiedenen chinesischen Hackergruppen übernommen. Interessanterweise enthält VShell eine Funktion, die überprüft, ob die Systemsprache auf Chinesisch eingestellt ist, was auf interne Tests hindeutet, die während der Bereitstellung versehentlich aktiviert blieben.
Nach dem Eindringen in das interne Netzwerk führten die Angreifer Brute-Force-Angriffe auf FTP-, MS-SQL- und SSH-Server durch und nutzten den EternalBlue SMB-Exploit (MS17-010), um Anmeldeinformationen zu extrahieren und sich seitlich im Netzwerk zu bewegen. Sie erstellten neue Domänenkonten und fügten diese bestehenden Gruppen hinzu, um den Zugang zu behalten, selbst wenn zuvor erworbene Anmeldeinformationen widerrufen wurden.
Die Angreifer registrierten ihre Malware als Dienst oder Aufgabenplaner, um die Persistenz zu gewährleisten und sicherzustellen, dass sie beim Systemstart oder bei bestimmten Ereignisauslösern ausgeführt wird. Diese Taktiken ermöglichen es den Angreifern, langfristigen Zugang zu den Netzwerken ihrer Opfer zu behalten und ihre schädlichen Aktivitäten fortzusetzen, ohne entdeckt zu werden.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Dozent Tourismusmanagement Tech und KI (m/w/d)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Dozent Tourismusmanagement Tech und KI (m/w/d)
Product Manager KI (Künstliche Intelligenz) (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Malware nutzt Ivanti-Schwachstellen für Cobalt Strike Angriffe" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Malware nutzt Ivanti-Schwachstellen für Cobalt Strike Angriffe" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue Malware nutzt Ivanti-Schwachstellen für Cobalt Strike Angriffe« bei Google Deutschland suchen, bei Bing oder Google News!