Ein getarnter Malware-Strang aus der „Mirai“-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie „Gayfemboy“. Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die „Gayfemboy“-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie „asus“, „vivo“, „zyxel“ oder „realtek“, die diese dann auch als Parameter in Anfragen nutzen.

Tarnen und täuschen

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header „UPX!“ jedoch durch nicht-druckbare Zeichen in Hexadezimalcode „10 F0 00 00“ ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in „/proc/[PID]/exe“, um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in „/proc/[PID]/cmdline“. Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa „ls -l“, „reboot“, „wget“ und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis „fehlinterpretiert“ und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Nach außen wirkt die Attacker-Funktion. Sie ist für das Starten von DDoS-Angriffen (Distributed Denial of Service) verantwortlich und ermöglicht den Backdoor-Zugriff. Sie stellt diverse Angriffsmethoden bereit. Fortinet zählt UDP Flood, UDP Bypass, TCP Flood, TCP SYN Flood, ICMP Flood, Heartbeat sowie das Backdoor-Modul auf. Der Auslöser zum Aktivieren der Backdoor in Gayfemboy ist die Zeichenkette „meowmeow“. Die Malware versucht, eine Verbindung zum Command-and-Control-Server herzustellen. Zur Auflösung der vorgegebenen Domains nutzt sie öffentliche DNS-Server wie 1.1.1.1, 8.8.8.8 oder 8.8.4.4. Damit umgeht sie gegebenenfalls lokale Filterung.

Die Analyse enthält noch zahlreiche Indizien für Infektionen (Indicators of Compromise, IOCs), anhand derer IT-Verantwortliche prüfen können, ob möglicherweise Maschinen in ihren Netzen befallen sind.

Das Mirai-Botnet selbst griff im Mai Samsung MagicINFO-9-Server an.

(dmk)

IBMs Entwickler haben in QRadar SIEM zwei Schwachstellen geschlossen, über die Angreifer Systeme attackieren können. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Zwei Angriffspunkte

Weil ein falsch konfigurierter Cronjob mit eigentlich unnötigen Berechtigungen ausgeführt wird, können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen (CVE-2025-33120 „hoch„).

Im zweiten Fall im Kontext des IBM QRadar SIEM Dashboards können Zugangsdaten leaken (CVE-2025-36042 „mittel„).

Die IBM-Entwickler geben in einer Warnmeldung an, dass die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 bedroht sind. Die Versionen IBM QRadar SIEM 7.5.0 UP13 IF01 und IBM QRadar Incident Forensics UP13 IF01.

Zuletzt haben die IBM-Entwickler die IT-Verwaltungssoftware Tivoli Monitoring vor möglichen Attacken gerüstet.

(des)

Die Software cPanel dient zur Verwaltung von Konten und Webseiten bei Webhostern. Die Entwickler haben mehrere aktualisierte Fassungen veröffentlicht, die Sicherheitslücken darin schließen.

Die Sicherheitslücken stecken in Drittanbieter-Software, die cPanel und WHM mitbringen. Das Changelog zur Version 130.0.5 nennt etwa die Sicherheitslücke CVE-2024-38999, eine sogenannte Prototype-Pollution-Schwachstelle in jrburke requirejs 2.3.6. Sie erlaubt das Einschleusen und Ausführen von Schadcode oder Denial-of-Service-Attacken. Eine Einordnung des Schweregrads fehlt dem Schwachstelleneintrag jedoch.

Die cPanel-Zweige 130, 128, 126, 118 und 110 bringen außerdem eine fehlerhafte SQLite-Version mit. Eine Sicherheitslücke darin vor Version 3.50.2 kann dazu führen, dass die Anzahl der aggregierten Begriffe die Anzahl der verfügbaren Spalten übersteigt, was in unkontrollierte Speicherzugriffe mündet (CVE-2025-6965 / EUVD-2025-21441. CVSS 7.2, Risiko „hoch„).

Aktualisierte Fassungen verfügbar

Um die Sicherheitslücken zu schließen, stellt der Hersteller die Versionen cPanel und WHM 130.0.5/6, 128.0.18, 126.0.28, 118.0.53 sowie 110.0.71 zum Herunterladen bereit. IT-Verantwortliche sollten sie zeitnah installieren, damit bösartige Akteure die dadurch ausgebesserten Schwachstellen nicht missbrauchen können.

Für die einzelnen Entwicklungszweige haben die Programmierer je ein eigenes Changelog veröffentlicht. Sie datieren auf den Donnerstag der vergangenen Woche:

Angriffe auf Sicherheitslücken in Web-Hosting-Software stellen eine dauerhafte Gefahr dar. Etwa WordPress-Plug-ins liefern unter anderem aufgrund ihrer großen Vielzahl eine große Angriffsfläche. Die nutzen Kriminelle gerne aus. Etwa das Theme „Motors“ riss eine Sicherheitslücke auf, die Angreifer zur Übernahme von ganzen WordPress-Instanzen missbraucht haben.

(dmk)