Operation Endgame trifft gemeinsame Infrastruktur von Amadey und StealC

Zusammenfassung

Microsoft, Europol, Strafverfolger und mehrere Sicherheitsunternehmen haben gemeinsam die Infrastruktur der Malware-Familien Amadey und StealC zerschlagen. Die Maßnahme war Teil der laufenden Operation Endgame und richtete sich gegen Hunderte Domains und Command-and-Control-Server. Nach Angaben der Beteiligten war der Schritt deshalb besonders bemerkenswert, weil nicht nur einzelne Schadprogramme oder Akteure angegriffen wurden, sondern die gemeinsam genutzte Infrastruktur, die beide Malware-Familien trägt. Microsoft und seine Partner stützten sich dabei auf KI-gestützte Analysen, rechtliche Schritte und eine Schwachstelle im StealC-Kontrollpanel. Amadey ist seit 2018 als Malware-as-a-Service-Loader im Umlauf und verschafft Angreifern Zugang zu kompromittierten Systemen, um weitere Schadsoftware nachzuladen. StealC, ein seit 2023 bekanntes Infostealer-Malwareprogramm, dient dem Diebstahl von Zugangsdaten, Krypto-Wallets, Cookies und weiteren wertvollen Informationen. Beide Familien wurden laut den Beteiligten häufig zusammen eingesetzt.

Im Zentrum der Aktion stand die Erkenntnis, dass Amadey und StealC dieselbe Command-and-Control-Infrastruktur nutzen. Diese Überschneidung wurde nach Angaben der Beteiligten durch KI-gestützte Analysen der beiden Malware-Familien sichtbar. Für Microsoft und seine Partner vereinfachte das die koordinierte Abschaltung der Systeme.

Europol bezeichnete den Einsatz als Strategiewechsel. Statt sich ausschließlich auf einzelne Bedrohungen zu konzentrieren, hätten Europol, Strafverfolgungs- und Justizbehörden sowie Partner aus der Privatwirtschaft die gesamte Kette unterbrochen, die Cyberangriffe in großem Maßstab ermöglicht. Die Beteiligten beschrieben das Vorgehen als Schlag gegen eine „Fließbandfertigung der Cyberkriminalität“.

Amadey ist seit 2018 aktiv und wird als Malware-as-a-Service-Loader angeboten. Die Schadsoftware verschafft Bedrohungsakteuren Zugriff auf Systeme und ermöglicht das Nachladen weiterer Nutzlasten. StealC ist seit 2023 im Umlauf und wird genutzt, um Zugangsdaten, Kryptowallets, Cookies und andere wertvolle Daten zu stehlen. Laut den Beteiligten ergänzten sich beide Werkzeuge häufig: Amadey öffnete den Zugang zu Systemen, StealC räumte anschließend Informationen von den kompromittierten Rechnern ab.

Im Verlauf der Operation wurden mehr als 25 Millionen eindeutige Zugangsdaten sichergestellt, die von mehr als 385.000 Systemen gestohlen worden waren. Zudem identifizierten und sicherten die Beteiligten 18.000 kompromittierte Computer. Europol erklärte außerdem, dass Kryptowerte im Wert von mehr als 47 Millionen US-Dollar identifiziert und markiert wurden, um ihre Nutzung einzuschränken.

Eine weitere Rolle spielte eine von Forschern entdeckte Schwachstelle im StealC-C&C-Panel. Sie ermöglichte das Hochladen einer Web-Shell auf den Server. Diese Lücke wurde im Rahmen der Abschaltaktion genutzt, um Daten zur Unterstützung des Einsatzes zu sammeln. Zugleich gibt es laut den Beteiligten Hinweise darauf, dass auch ein mit StealC verbundener Akteur die Schwachstelle missbrauchte, um Daten anderer Partner desselben Ökosystems zu stehlen.

An der Aktion beteiligt waren Microsoft, Europol, ESET, Bitsight, IBM X-Force, Proofpoint und Mitsui Bussan Secure Directions aus Japan. Diese Organisationen haben jeweils Blogbeiträge veröffentlicht, in denen sie ihr Vorgehen gegen Amadey und StealC beschreiben. Die Ankündigung folgt kurz auf eine weitere gemeinsame Aktion von Strafverfolgern und Sicherheitsunternehmen gegen das SocGholish-Botnetz.

Operation Endgame trifft gemeinsame Infrastruktur von Amadey und StealC

Ähnliche Artikel

Neueste Artikel