Seite 2: Angreifer identifizierten Unternehmen

Inhaltsverzeichnis

Offensichtlich ist es den Tätern ein Anliegen, zu erfahren, in welche Unternehmen ihre Backdoor vorgedrungen ist: Die trojanisierte MeDoc-Bibliothek fragt gezielt die EDRPOU-Nummer ab, die vergleichbar mit der Umsatzsteuer-Identifikationsnummer (USt-IdNr.) eingesetzt und einem Unternehmen eindeutig zuzuordnen ist. Mit dieser Information können die Angreifer entscheiden, wie sie nach der Infektion weiter vorgehen – etwa, ob es sich lohnt, gezielt Unternehmensgeheimnisse abzugreifen, ehe der Erpressungs-Trojaner zuschlägt. Neben der EDRPOU-Nummer saugt das Backdoor-Modul dem Bericht zufolge die Mail- und Proxy-Konfiguration aus der MeDoc-Software ab. In beiden Fällen können auch Zugangsdaten darunter sein, weshalb Eset den betroffenen Nutzern dringend rät, die Passwörter für Mail-Accounts und Proxy-Zugänge zu ändern.

Beute als Cookie getarnt

Die ausspionierten Daten sendet das Backdoor-Modul nicht etwa an ein System der Angreifer, sondern an den Server der MeDoc-Entwickler. Im Rahmen der routinemäßigen Nachfrage, ob eine neue Software-Version zum Download bereitsteht, sendet die Bibliothek das Diebesgut als vermeintliches Cookie im HTTP-Request mit.

Offenbar gelang es den Angreifern, die Kontrolle über den offziellen MeDoc-Server zu gewinnen. Der Einstiegspunkt könnte eine PHP-Webshell mit dem Dateinamen medoc_online.php gewesen sein, die Eset auf dem FTP-Server der MeDoc-Entwickler fand. Das Verzeichnis, in dem sich die Datei befand, war über den HTTP-Server öffentlich zugänglich. (rei)