Kontakt

secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

DeepDive Exchange Hack
Allgeier News secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

Detaillierte Analyse eines Cyberangriffs

Vor zwei Wochen gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hat den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft – mehr als zu Recht. Weltweit und in der Schweiz sind diverse Firmen von diesem Hack bedroht. Das SOC Team der secion GmbH (Allgeier Company) hat die Erkenntnisse aus den Angriffsaktivitäten, die bisher noch nicht publiziert worden, zusammengefasst.

Zusammenfassung - Schadcode-Ausführung nach Exchange-Hack

Das SOC-Team hat in Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.

Dies sind die konkreten Findings des SOC-Teams

Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:

  1. Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
  2. Ausführung des ersten Powershell-Scripts via Webshell:
    1. Abgerufen von hXXp://p[.]estonine[.]com/p
    2. Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
    3. Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen „Winnet“ ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
  3. Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
  4. Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!

Die Schadsoftware hinter „update.png“ ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich grösser und aufwändiger verschleiert.

Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz
  • Nachladen weiterer Powershell-Scripte
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln
  • Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten
Gesamter Blog mit PNG-Deep Dive Analyse, Fazit und festgestellten IOC's
Zurück zur Übersicht

Sie haben Fragen oder wünschen weitere Infos dazu?

Schreiben Sie uns!

Weitere Artikel

  • News

Sebastian Bloch wird neuer CEO bei Allgeier (Schweiz) AG

Sebastian Bloch übernimmt ab 1. Oktober 2025 die Rolle des CEO bei Allgeier (Schweiz) AG. Alex Plasa bleibt bis März 2026 in der Geschäftsleitung und sichert eine nahtlose Übergabe.
Weiterlesen
  • Blog

Mit Daten zur grünen Lieferkette

Erfahren Sie, wie Handel und Logistik ESG-Daten nutzen, um Berichtspflichten zu erfüllen, Kosten zu senken und Emissionen messbar zu reduzieren.
Weiterlesen
Datengetriebene Nachhaltigkeit in der Industrie: Optimierung von Produktionsprozessen und Reduzierung von Abfällen
  • Blog

Datengetriebene Nachhaltigkeit in der Industrie

Entdecken Sie, wie Industrieunternehmen ESG-Daten nutzen, um Prozesse zu optimieren, Abfälle zu reduzieren und regulatorische Anforderungen zu erfüllen.
Weiterlesen
Digitale Emissions-Transparenz_Case Study
  • Blog

Digitale Emissions-Transparenz für Immobilien

Erfahren Sie, wie Sinovis und Allgeier durch digitale Lösungen Energien und Emissionen von Immobilien bewert- und vergleichbar machen. Nachhaltigkeit im Fokus.
Weiterlesen
  • Blog

Vom Reporting zur Wirkung

So machen Energieversorger und Verwaltungen aus ESG-Reporting ein Steuerungsinstrument für Klimaziele, Investitionen und mehr Wirkung pro Budget-Franken.
Weiterlesen
  • Blog

Netto-Null für Banken und Versicherungen

Erfahren Sie, wie Banken & Versicherungen ESG-Daten nutzen, um Risiken zu minimieren, Berichtspflichten zu erfüllen und Vertrauen bei Stakeholdern zu stärken.
Weiterlesen
Daten als Schlüssel zur Nachhaltigkeit
  • Blog

Daten als Schlüssel zur Nachhaltigkeit

Ohne Daten keine Nachhaltigkeit: So nutzen Schweizer Unternehmen Datenanalysen, um ESG-Anforderungen zu erfüllen und Netto-Null zu erreichen.
Weiterlesen
ESG Reporting Netto Null
  • Blog

ESG Reporting & Netto Null

Schweizer Unternehmen stehen vor strengeren ESG-Pflichten und Netto-Null-Zielen. Erfahren Sie, was jetzt wichtig ist und wie Sie vorbereitet sind.
Weiterlesen

Nachhaltigkeit wird zur Pflicht

Sind Ihre Daten ESG-Ready?

Mit der neuen ESG-Regulierung wächst der Druck auf Unternehmen, belastbare Nachhaltigkeitsberichte vorzulegen.

Nutzen Sie unseren Quick-Check, um Lücken in Ihrer Datenlandschaft zu erkennen und Ihre ESG-Strategie zukunftssicher aufzustellen!

Checkliste zur Bewertung der ESG-Datenlandschaft
Jetzt Check machen