
Threat-Spotlight: Neue Cryptominer-Malware-Variante
Eine neue Variante der Cryptominer-Malware, bekannt als Golang, zielt sowohl auf Windows- als auch auf Linux-Rechner ab. Während das Volumen der Angriffe gering ist, weil die Variante so neu ist, haben die Forscher von Barracuda bisher sieben Quell-IP-Adressen gesehen, die mit dieser Malware in Verbindung stehen, alle mit Sitz in China. Anstatt Endbenutzer ins Visier zu nehmen, greift diese neue Malware Server an.
Hier finden Sie eine nähere Betrachtung dieser aufkommenden Bedrohung sowie Lösungen zur Erkennung, Abwehr und Behebung der Angriffe.
Bedrohung im Fokus
Neue Variante der „Golang“ -Malware— Diese neue Malware-Variante greift Webanwendungs-Frameworks, Anwendungsserver und Nicht-HTTP-Dienste wie Redis und MSSQL an. Ihr Hauptziel ist es, die Kryptowährung Monero mithilfe des bekannten Miners XMRig zu minen. Die Malware verbreitet sich als Wurm, der andere anfällige Rechner ausfindig macht und infiziert.
Frühere Varianten dieser Malware zielten nur auf Linux-Rechner ab, aber diese neue Iteration greift auch Windows-Rechner an und nutzt einen neuen Pool von Exploits. Beispielsweise zielen einige der in der Malware enthaltenen Exploits auf das in China beliebte ThinkPHP-Webanwendungs-Framework ab. Ähnlich wie bei anderen Malware-Familien kann man davon ausgehen, dass sich diese Malware ständig weiterentwickelt und immer mehr Exploits ausnutzt.
Die Details
Sobald die Malware einen Rechner infiziert, lädt er die folgenden Dateien herunter, die abhängig von der angegriffenen Plattform angepasst werden. Die Angriffe folgen jedoch dem gleichen Schema, zu dem ein anfänglicher Payload, ein Update-Skript, ein Miner, ein Watchdog, ein Scanner und eine Konfigurationsdatei für den Kryptominer gehören. Bei Windows-Rechnern fügt die Malware außerdem einen Backdoor-Benutzer hinzu.
Linux | Windows | Beschreibung |
init.sh 4cc8f97c2bf9cbabb2c2be292886212a | init.ps1 ebd05594214f16529badf5e7033054aa | Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt. |
update.sh 4cc8f97c2bf9cbabb2c2be292886212a | update.ps1 ebd05594214f16529badf5e7033054aa | Das Update-Skript, das identisch mit dem Init-Skript ist, wird als geplante Aufgabe ausgeführt. |
Sysupdate 149c79bf71a54ec41f6793819682f790 | sysupdate.exe 97f3dab8aa665aac5200485fc23b9248 | Der Kryptominer basiert auf dem bekannten XMRig-Miner, einem Open-Source-Tool. |
Sysguard c31038f977f766eeba8415f3ba2c242c | sysgurard.exe ba7fe28ec83a784b1a5437094c63182e | Der Watchdog stellt sicher, dass Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind. |
networkservice 8e9957b496a745f5db09b0f963eba74e | networkservice.exe a37759e4dd1be906b1d9c75da95d31a2 | Der Scanner durchsucht das Internet nach anfälligen Rechnern und infiziert sie mit der Malware. |
N/A | clean.bat bfd3b369e0b6853ae6d229b1aed410a8 | Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einen Backdoor-Benutzer hinzu. |
config.json c8325863c6ba60d62729decdde95c6fb | config.json c8325863c6ba60d62729decdde95c6fb | Dies ist die Konfigurationsdatei des Kryptominers. |
Init/Update-Skripts
Die Init- und Update-Skripts haben auf jeder Plattform denselben Inhalt. Sie werden sowohl für die Installation der Malware als auch für die Aktualisierung ihrer Komponenten verwendet. Das Init-Skript wird als Teil des anfänglichen Payloads ausgeführt, und das Update-Skript wird als geplante Aufgabe (cron in Linux) ausgeführt.
Das Init-Skript für Linux ist aggressiv: Es entfernt konkurrierende Miner und Malware, blockiert Ports, fügt Backdoor-Schlüssel hinzu und deaktiviert SELINUX. Das Windows-Init-Skript führt ein paar grundlegende Schritte aus, die nicht so ausgefeilt sind wie das Init-Skript für Linux. Da dieses Skript in früheren Varianten nicht gefunden wurde, gehen Forscher davon aus, dass die Ausrichtung auf Windows eine neue Ergänzung zu dieser Malware ist.
Miner - sysupdate/sysupadte.exe
Der Cryptominer basiert auf dem bekannten XMRig Miner, einem Open-Source-Tool. Die Konfigurationsdatei ist config.json.
Watchdog - sysguard/sysgurad.exe
Der Watchdog stellt sicher, dass der Scanner und Miner laufen und alle Komponenten auf dem neuesten Stand sind. Wenn er keine Verbindung zum Command-and-Control-Server herstellen kann, versucht er, die Adresse eines neuen Servers durch Parsen von Transaktionen auf einem bestimmten Ethereum-Konto abzurufen.
Der Watchdog ist in Go geschrieben (mit UPX gestrippt und komprimiert).
Backdoor-Benutzer - Clean.bat
Dieses Skript wird nur auf Windows-Rechnern verwendet und fügt dem System einfach einen weiteren Benutzer hinzu. Die Init/Update-Skripts für Linux-Systeme führen einen ähnlichen Schritt aus, indem sie dem System einen autorisierten SSH-Schlüssel hinzufügen.Scanner - networkservice/networkservice.exe
In Go geschrieben (mit UPX entfernt und komprimiert) verbreitet die Scanner-Komponente die Malware, indem sie das Internet nach anfälligen Computern durchsucht und sie mit der Malware infiziert. Der Scanner generiert einfach eine zufällige IP (vermeidet 127.x.x.x, 10.x.x.x und 172.x.x.x) und versucht, den Computer dahinter anzugreifen.
Nach einer erfolgreichen Übernahme wird es an den Command-and-Control-Server hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/ReportSuccess/<IP>/<Exploittype> Bericht erstatten.
Der Scanner meldet seinen Fortschritt auch an den Command-and-Control-Server
hxxp://185.181.10.234/E5DB0E07C3D7BE80V520/IAMScan/<scan count>
Exploits der neuen Kryptominer-Malware-Variante
Anbieter | Ports | CVE | Beschreibung |
Orcale WebLogic | 7001/7002 | CVE-2017-10271 | Die Malware wird versuchen, CVE-2017-10271 auszunutzen und Nutzlasten für Windows und Linux fallen zu lassen. |
ElasticSearch | 9200 | CVE-2015-1427 CVE-2014-3120 | Die Malware wird versuchen, sowohl CVE-2015-1427 als auch CVE-2014-3120 auszunutzen und eine Nutzlast für Linux abzulegen. |
Drupal | N/A | CVE-2018-7600 | Dieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit verwendet CVE-2018-7600 und löscht eine Nutzlast für Linux. |
ThinkPHP | 80/8080 | CVE-2018-20062, N/A | Die Malware wird versuchen, zwei Schwachstellen im ThinkPHP-Framework auszunutzen und Payloads sowohl für Windows als auch für Linux zu platzieren. |
Hadoop | 8088 | N/A | Die Malware wird mithilfe dieses Exploits Payloads für Linux platzieren. |
Redis | 6379/6380 | N/A | Zunächst versucht sie, falls erforderlich, Anmeldeinformationen zu finden (Wörterbuchangriff). Wenn dies erfolgreich ist, wird eine bekannte Methode zum Erreichen von RCE verwendet, indem die db-Datei im cron-Pfad abgelegt wird. |
MSSQL | 1433 | N/A | Die Malware versucht zunächst, die Anmeldedaten (Wörterbuchangriff) für den mssql-Server zu finden. Wenn dies erfolgreich ist, platziert sie eine Payload für Windows. |
IoT-Geräte | N/A | N/A | Dieser Exploit scheint deaktiviert zu sein, ist aber nach wie vor im Code vorhanden. Der Exploit zielt auf IoT-Geräte (CCTV) ab. |
So schützen Sie sich vor diesen Angriffen
Es gibt ein paar wichtige Schritte, die Sie zum Schutz vor dieser Malware-Variante unternehmen können.Web Application Firewall — Stellen Sie sicher, dass Sie über eine ordnungsgemäß konfigurierte Web Application Firewall verfügen. Diese Malware-Variante verbreitet sich, indem sie das Internet nach anfälligen Rechnern durchsucht. Viele Organisationen übersehen die Anwendungssicherheit, doch sie ist nach wie vor ein Top-Bedrohungsvektor, den Cyberkriminelle auszunutzen suchen.
Halten Sie sich über Patches auf dem Laufenden – Wie diese Malware zeigt, sind Cyberkriminelle immer auf der Suche nach Schwachstellen, die sie ausnutzen können. Wenn Sie bei Sicherheits-Patches und Updates auf dem Laufenden bleiben, ist Ihr Unternehmen diesen Bedrohungen immer einen Schritt voraus.
Überwachen Sie Systeme auf verdächtige Aktivitäten — Wenn Sie wissen, wie diese Malware-Variante funktioniert, können Sie die Windows- und Linux-Server Ihres Unternehmens auf diese Art von Aktivitäten überwachen, damit Sie eventuelle Angriffe so schnell wie möglich abwehren können. Vergewissern Sie sich, dass Sie über eine Lösung verfügen, um diese Art von Aktivitäten zu überwachen, und klären Sie Ihr Sicherheitsteam über die entsprechenden Warnzeichen auf.
Sehen Sie sich das Webinar an, um mehr über diese Bedrohung zu erfahren

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.