Sicherheitsforscher von Trend Micro haben eine ausgeklügelte Malware-Kampagne aufgedeckt, bei der Cyberkriminelle einen gefälschten Exploit für die LDAPNightmare-Schwachstelle (CVE-2024-49113) auf GitHub verbreiten. Die Angreifer imitieren dabei geschickt einen legitimen Proof-of-Concept-Exploit von SafeBreach Labs aus dem Jahr 2025.
Technische Analyse der Malware-Funktionsweise
Die Malware wird als UPX-gepackte ausführbare Datei (poc.exe) verteilt und initiiert nach der Ausführung eine mehrstufige Angriffssequenz. Der Infektionsprozess umfasst die Implementierung eines PowerShell-Skripts im temporären Verzeichnis, die Erstellung eines geplanten Tasks sowie das Nachladen zusätzlicher Komponenten von Pastebin-Servern.
Umfangreiche Datenexfiltration als Hauptziel
Der eingesetzte Infostealer sammelt systematisch sensible Informationen vom kompromittierten System. Zu den erfassten Daten gehören:
– Detaillierte Systeminformationen
– Laufende Prozesse
– Verzeichnisstrukturen
– Netzwerkkonfigurationen und IP-Adressen
– Installierte Windows-Updates
Die gesammelten Informationen werden komprimiert und an einen von den Angreifern kontrollierten FTP-Server übertragen.
Hintergründe zur LDAPNightmare-Schwachstelle
Microsoft behob die Schwachstelle CVE-2024-49113 im Dezember 2024 durch ein Sicherheitsupdate für Windows LDAP. Besonders bemerkenswert ist, dass diese Schwachstelle im Gegensatz zur kritischeren CVE-2024-49112 lediglich DoS-Angriffe ermöglicht. Die anfängliche Verwechslung dieser beiden Schwachstellen nutzen Cyberkriminelle nun gezielt aus.
Präventive Sicherheitsmaßnahmen
Zur Prävention solcher Angriffe empfehlen Sicherheitsexperten:
– Ausschließliche Nutzung verifizierter Exploit-Quellen
– Sorgfältige Code-Analyse vor der Ausführung
– VirusTotal-Scans für verdächtige Dateien
– Vermeidung von obfuskiertem Code
– Zeitnahe Installation von Sicherheitsupdates
Diese Kampagne verdeutlicht einen besorgniserregenden Trend: Cyberkriminelle nutzen verstärkt vertrauenswürdige Entwicklerplattformen wie GitHub zur Malware-Verteilung. Sicherheitsverantwortliche müssen bei der Nutzung öffentlicher Repositories erhöhte Vorsicht walten lassen und implementierte Sicherheitskontrollen kontinuierlich überprüfen. Eine gründliche Validierung aller externen Code-Ressourcen ist unerlässlich für die Aufrechterhaltung der IT-Sicherheit.
