Das Guardicore Labs Team hat eine neue Kampagne verfolgt, die die Purple Fox Malware verbreitet. Purple Fox wurde im März 2018 entdeckt und war als Exploit-Kit bekannt, das Internet Explorer und Windows-Rechner mit verschiedenen Exploits zur Privilegienerweiterung angreift.
Ende 2020 und Anfang 2021 entdeckte das Guardicore Global Sensors Network (GGSN) jedoch die neuartige Verbreitungsmethode von Purple Fox über wahlloses Port-Scanning und die Ausnutzung von exponierten SMB-Diensten mit schwachen Passwörtern und Hashes.
Während es scheint, dass sich die Funktionalität von Purple Fox nach der Entdeckung nicht wesentlich verändert hat, unterscheiden sich seine Verbreitungs- und Verteilungsmethoden – und sein wurmähnliches Verhalten – deutlich von den Beschreibungen in zuvor veröffentlichten Artikeln. Während der Untersuchungen von Guardicore wurde eine Infrastruktur beobachtet, die aus einem Sammelsurium von verwundbaren und ausgenutzten Servern zu bestehen scheint, die die ursprüngliche Nutzlast der Malware hosten, sowie infizierten Rechnern, die als Knotenpunkte dieser ständig wurmartigen Kampagnen dienen, und einer Serverinfrastruktur, die mit anderen Malware-Kampagnen in Verbindung zu stehen scheint.
Ihre Ergebnisse umfassen
- Purple Fox ist eine aktive Malware-Kampagne, die auf Windows-Rechner abzielt.
- Bis vor kurzem infizierten die Betreiber von Purple Fox Rechner mit Hilfe von Exploit-Kits und Phishing-E-Mails.
- Guardicore Labs hat einen neuen Infektionsvektor dieser Malware identifiziert, bei dem Windows-Rechner mit Internetzugang durch SMB-Passwort-Brute-Force angegriffen werden.
- Guardicore Labs hat ausserdem ein ausgedehntes Netzwerk von kompromittierten Servern identifiziert, auf denen Purple Fox seinen Dropper und seine Payloads hostet. Diese Server scheinen kompromittierte Microsoft IIS 7.5 Server zu sein.
- Die Purple Fox-Malware enthält ein Rootkit, das es den Bedrohungsakteuren ermöglicht, die Malware auf dem Rechner zu verstecken und sie schwer zu erkennen und zu entfernen.
Lesen Sie den vollständigen Artikel von Amit Serper und Ophir Harpaz, der die Erkenntnisse von Guardicore über die neue Wurmaktivität im Detail beschreibt und IOCs teilt.
Wenden Sie sich an Ihren lokalen Exclusive Networks Account Manager, um mehr darüber zu erfahren, wie die Centra Security Platform von Guardicore Ihnen helfen kann, mehr Sicherheit und Transparenz in der Cloud, im Rechenzentrum und am Endpunkt zu erreichen und sich gegen Angriffe wie Purple Fox zu schützen.