Malware mit der Covid-19-Thematik in Cloud-Umgebungen

Forscher der Unit 42 von Palo Alto Networks stellten fest, dass die Public Cloud-Infrastruktur mit Domänen kommuniziert hat, von denen bekannt ist, dass sie Malware zum Thema COVID-19 verbreiten. Am 24. März 2020 veröffentlichte Unit 42 einen Blog, in dem Angriffsmuster von böswilligen Akteuren im Zusammenhang mit dem neuartigen Coronavirus (COVID-19) erörtert wurden. Mit diesen Erkenntnissen versuchten die Forscher herauszufinden, ob in der Public Cloud-Infrastruktur böswillige COVID-19-Ereignisse auftreten. Wenn Hinweise auf diese Aktivität gefunden würden, wie könnten sich Organisationen schützen?

Die Forscher identifizierten mehr als 300 Malware-Muster zum Thema COVID-19, die mit 20 eindeutigen IP-Adressen und Domänen-Indicators of Compromise (IOCs) kommunizierten. Nachdem die Forscher Prisma Cloud zwischen dem 1. März und dem 7. April 2020 nach Netzwerkverbindungen zu diesen 20 verdächtigen IOCs abgefragt hatten, fanden sie insgesamt 453’074 eindeutige Netzwerkverbindungen in 27 eindeutigen Cloud-Umgebungen.

• Über 450’000 Cloud-basierte Netzwerkverbindungen mit COVID-19-Malware-IoCs
• In 27 einzigartigen und potenziell gefährdeten Cloud-Umgebungen
• Klare Hinweise auf die Kommunikation mit Knoten, von denen bekannt ist, dass sie Command and Control-Vorgänge (C2) im Zusammenhang mit COVID-19-Malware ausführen

Es ist nicht klar, ob jede der 27 identifizierten Organisationen tatsächlich mit COVID-19-Malware kompromittiert wurde, da die Forscher weder den Netzwerkverkehr anzeigen noch die Malware-Beispiele selbst erhalten konnten, die die beobachteten Verbindungen initiierten. Diese Netzwerkverbindungen sollten jedoch als äusserst verdächtig eingestuft werden, da auf den Zielendpunkten eine dokumentierte Historie von Malware-Vorgängen vorliegt.

Lesen Sie Nathaniel Quists vollständigen Artikel hier, einschliesslich Details zu den Forschungsergebnissen, Schlussfolgerungen und – was am wichtigsten ist – Empfehlungen zur Schadensbegrenzung.