Malware "Perfctl" befällt seit Jahren Linux-Server


Ausgeklügelte Malware befällt massenweise Linux-Server mit falschen Konfigurationen
Die Angriffe blieben wegen der guten Tarnung lange unentdeckt


Das Team Nautilus von Aqua Security hat entdeckt, dass die Malware namens "Perfctl" bereits seit 2021 im Umlauf ist und Linux-Server befällt, um diese dann heimlich als Proxy-Server für Kryptomining zu benutzen. Die Malware hat in den letzten drei bis vier Jahren aktiv nach mehr als 20.000 Arten von Fehlkonfigurationen in Linux-Systemen gesucht und dabei bereits Millionen von Servern angegriffen. Die Zahl der Geräte, welche erfolgreich von der Malware befallen wurden, gehe laut Team Nautilus in die Tausende.

Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme dienen. Die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist.

Das Ziel ist Kryptomining
In allen bekannten Fällen führte die Malware einen Kryptominer aus. In einigen Fällen wurde dem Bericht zufolge auch eine Proxy-Jacking-Software verwendet. Während Analysten Sandbox-Tests mit der Malware durchführten, machten sie die Beobachtung, dass die Malware im Hintergrund andere Programme installierte, um unbemerkt das Geschehen zu überwachen.

Die Malware tarnt sich durch ausgeklügelte Techniken
"Perfctl" ist besonders schwer zu fassen und hartnäckig, da es mehrere ausgeklügelte Techniken einsetzt, wie beispielsweise Rootkits, um seine Präsenz zu verbergen. Wenn sich ein neuer Benutzer auf dem Server anmeldet, stoppt die Malware zudem sofort alle auffälligen Aktivitäten und bleibt so lange inaktiv, bis der Server wieder inaktiv ist. Für die interne Kommunikation nutzt das Schadprogramm Unix-Sockets während die externe Kommunikation über einen TOR-Server geleitet wird. Damit ist eine Nachverfolgung unmöglich. Nach der Ausführung löscht es seine Binärdatei und läuft im Hintergrund als Dienst weiter. Zudem kopiert es sich aus dem Speicher an verschiedene Stellen auf der Festplatte und verwendet dabei irreführende Namen.

Durch eine Hintertür auf dem Server überwacht die Malware die TOR-Kommunikation und versucht zudem, die Polkit-Schwachstelle (CVE-2021-4043) auszunutzen, um seine Rechte zu erweitern. (Aqua Security: ra)

eingetragen: 01.12.24
Newsletterlauf: 11.12.24

Aqua Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Sophos spürt neuartigen Keylogger "Tattletale" auf Phishing-Websites als Webplattformen

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen