HolesWarm Malware

Die HolesWarm-Malware ist eine plattformübergreifende Krypto-Miner-Bedrohung, die in nur wenigen Monaten über tausend Cloud-Hosts kompromittiert hat. Die hohe Erfolgsrate der Infektion der Bedrohung beruht darauf, dass sie ihre Angriffsmethode schnell ändern kann. Bisher haben Forscher beobachtet, dass HolesWarm über 20 verschiedene Schwachstellen ausnutzt, die in zahlreichen Office-Serverkomponenten wie Apache Tomcat, Spring Boot, Jenkins, Shiro, UFIDA, Weblogic, Structs2, XXL-JOB und Zhiyuan gefunden wurden.

Sobald HolesWarm auf dem Zielsystem eingerichtet ist, kapert es die verfügbaren Ressourcen und verwendet sie, um Monero-Münzen abzubauen. Darüber hinaus können die Angreifer die Kontrolle über den kompromittierten Server erlangen und Passwortinformationen sammeln.

Die Fähigkeit, das Verhalten der Bedrohung zu ändern und so viele verschiedene Angriffsmethoden schnell zu durchlaufen, zeigt, dass der Bedrohungsakteur über ausreichendes Know-how und Softwarekenntnisse verfügt. Gleichzeitig deutet das Fehlen etablierter TTPs (Taktik, Techniken und Verfahren) darauf hin, dass die Gruppe möglicherweise erst kürzlich gegründet wurde. Auch die Leichtigkeit, mit der die Bedrohung erkannt wurde, unterstützt diese Schlussfolgerung.

Um die Wahrscheinlichkeit eines illegalen Verstoßes zu verringern, sollten Unternehmen die erforderlichen Updates auf ihren Servern installieren. Die Folgen, wenn bekannte Schwachstellen nicht gepatcht werden, können verheerend sein und zu schwerwiegenden Betriebsstörungen führen.