Kontakt

secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

DeepDive Exchange Hack
Allgeier News secion GmbH (Allgeier Company) enthüllt Exchange-Hack-Aktivitäten

Detaillierte Analyse eines Cyberangriffs

Vor zwei Wochen gab Microsoft bekannt, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht die laufende Angriffswelle deshalb so gefährlich, da sie Vollzugriff auf den betroffenen Exchange Server gewährt. Das BSI hat den Exchange Hack für Unternehmen als „IT-Bedrohungslage: 4 / Rot“ eingestuft – mehr als zu Recht. Weltweit und in der Schweiz sind diverse Firmen von diesem Hack bedroht. Das SOC Team der secion GmbH (Allgeier Company) hat die Erkenntnisse aus den Angriffsaktivitäten, die bisher noch nicht publiziert worden, zusammengefasst.

Zusammenfassung - Schadcode-Ausführung nach Exchange-Hack

Das SOC-Team hat in Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.

Dies sind die konkreten Findings des SOC-Teams

Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:

  1. Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
  2. Ausführung des ersten Powershell-Scripts via Webshell:
    1. Abgerufen von hXXp://p[.]estonine[.]com/p
    2. Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
    3. Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen „Winnet“ ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
  3. Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
  4. Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!

Die Schadsoftware hinter „update.png“ ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich grösser und aufwändiger verschleiert.

Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:

  • Auslesen von Passwörtern und Passworthashes via Mimikatz
  • Nachladen weiterer Powershell-Scripte
  • Netzwerkscans, um weitere Angriffsziele zu ermitteln
  • Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
  • Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten
Gesamter Blog mit PNG-Deep Dive Analyse, Fazit und festgestellten IOC's
Zurück zur Übersicht

Sie haben Fragen oder wünschen weitere Infos dazu?

Schreiben Sie uns!

Weitere Artikel

  • Blog

Daten ohne Governance: Wenn die Gewohnheit entscheidet

Governance scheitert selten an fehlenden Policies, sondern an fehlendem Operating Model. Dieser Artikel zeigt Rollen, Routinen und Minimalstandards, die im Alltag tragen.
Weiterlesen
Data-driven decision making in Finance
  • Blog

Von Compliance zu Wirkung: was Finance wirklich gewinnt

Viele schaffen Compliance und bleiben trotzdem langsam. Dieser Artikel zeigt, welche Effekte Finance wirklich spürt, wenn Datenprozesse stabil sind: weniger Excel, mehr Steuerung.
Weiterlesen
  • Blog

Data-driven Decision Making: Use Cases, die wirklich tragen

Viele Use-Case-Listen klingen gut, bringen aber nichts auf die Strasse. Dieser Artikel zeigt, wie Sie Use Cases so wählen, dass Daten, Wirkung und Adoption zusammenpassen.
Weiterlesen
  • Blog

DORA & AI Act: Der Stresstest für Ihre Datenprozesse

Regulatorik scheitert selten an Paragrafen, sondern an Prozessrealität: Lineage, Logging, Monitoring, Incident-Prozess. Dieser Artikel übersetzt DORA/AI Act in Controls.
Weiterlesen
Data-driven Decision Making Blogbeitrag Industrie
  • Blog

Wenn Zahlen streiten: Vom Datensilo zum Data-driven Decision Making

Wenn in Meetings zuerst verhandelt wird, welche Zahl stimmt, haben Sie kein Reporting, sondern Theater. Datensilos kosten Tempo, Geld und Vertrauen. Dieser Artikel zeigt, warum Data-driven Decision Making 2026 zur Überlebensfähigkeit gehört.
Weiterlesen
  • News

Strategische Neuausrichtung im Hause Allgeier Schweiz

Allgeier Schweiz gründet People Sourcing aus, schliesst sich Evora Group an und geht mit klarer Wachstumsstrategie mit Cloud, Data & E Commerce in Schweiz & Deutschland ins neue Jahr.
Weiterlesen
Interview mit Christian Dunkel
  • Blog

Microsofts Zero Trust Assessment Tool im Praxistest 

Infrastruktur-Experte Christian Dunkel erklärt im Interview, was das neue Security Tool von Microsoft kann und wie Unternehmen damit Schwachstellen aufdecken und wirksame Massnahmen für mehr Sicherheit einleiten können.
Weiterlesen
  • Blog

Reporting neu gedacht im Hochbauamt des Kanton Zürich

Das Hochbauamt des Kanton Zürich modernisiert sein Reporting mithilfe von Power BI. Eine optimierte Infrastruktur sowie eine konsistente Datenbasis sorgen dabei für mehr Effizienz und Transparenz.
Weiterlesen