Mastodon Mastodon Mastodon Mastodon

VerdantBamboo kompromittiert MSP-Firewalls und Synology NAS

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forscher von Volexity haben einen Bericht veröffentlicht über eine Cyberspionagekampagne, in deren Verlauf eine mutmaßlich mit China verbundene Gruppe, die unter dem Namen VerdantBamboo verfolgt wird, die Infrastruktur einer Organisation über deren Managed Service Provider (MSP) kompromittierte. Die Angreifer brachten eine BSD-Variante der Backdoor BRICKSTORM auf der pfSense-Firewall des Providers zum Einsatz und installierten anschließend zwei weitere Malware-Familien – PLENET (GRIMBOLT) und AGENTPSD – auf dem Netzwerkspeicher Synology NAS des Opfers. Die Kampagne betrifft Organisationen, die Peripheriegeräte ohne EDR-Unterstützung einsetzen: Firewalls, NAS-Systeme und File-Sync-Server.

Zeitlicher Ablauf und Angriffsvektor

Laut Volexity wurde der Vorfall im Rahmen einer Untersuchung im September 2025 entdeckt, die ursprüngliche Kompromittierung erfolgte nach Einschätzung der Forscher jedoch mindestens 18 Monate zuvor. Die Angriffskette umfasste mehrere Phasen:

  • Kompromittierung des MSP: Die Angreifer infizierten die pfSense-Firewall des Managed Service Providers mit der BSD-Variante von BRICKSTORM und erhielten darüber Zugang zur Infrastruktur des Kunden.
  • Ausnutzung von Egnyte Storage Sync: Auf dem Storage-Sync-System des Opfers wurde eine Schwachstelle zur lokalen Privilegienerweiterung ausgenutzt, um BRICKSTORM zu installieren. Der Fix ist in Storage Sync Version 13.13 enthalten, die im März 2026 veröffentlicht wurde.
  • Zugriff auf Microsoft 365: Über die Proxy-Funktionen von BRICKSTORM auf dem kompromittierten Sync-System und mit gestohlenen Zugangsdaten verschafften sich die Angreifer Zugang zur Cloud-Umgebung Microsoft 365, tarnten den Traffic als legitim und umgingen so Richtlinien für Conditional Access.
  • Wiederholtes Eindringen: Nach der ersten Eindämmung des Vorfalls kehrte VerdantBamboo zurück, nutzte gestohlene administrative Zugangsdaten zur Anmeldung an der Firewall, konfigurierte ein SSL VPN und brachte Malware auf dem Synology NAS zur Ausführung.

Bemerkenswert ist, dass der Zugriff auf das kompromittierte Gerät über IP-Adressen erfolgte, die von der SSL-VPN-Lösung der Organisation selbst zugewiesen wurden, was die Erkennung von Anomalien im Netzwerkverkehr erheblich erschwerte.

Malware-Arsenal

Auf das Netzwerkspeicher-System Synology NAS wurden über SSH zwei Malware-Familien übertragen:

  • PLENET (GRIMBOLT) — eine plattformübergreifende Backdoor, entwickelt auf Basis von .NET Core unter Verwendung nativer AOT- (ahead-of-time-)Kompilierung. Sie stellt eine neue Version von BRICKSTORM dar und unterstützt eine interaktive Shell, die entfernte Ausführung von Befehlen, Dateioperationen sowie das Umschalten zwischen Command-and-Control-Servern (C2).
  • AGENTPSD — eine in Python implementierte Reverse Shell, die vermutlich als Fallback-Zugriffskanal dient, falls das primäre Implantat ausfällt.

Der Einsatz von AOT-Kompilierung bei PLENET ist besonders hervorzuheben: Diese Technik ermöglicht die Erstellung eigenständiger Executables ohne Abhängigkeit von der .NET-Runtime, was die Bereitstellung auf Geräten mit eingeschränkter Softwareumgebung erleichtert und die Analyse erschwert.

Bedrohungskontext und Verknüpfungen

Volexity beschreibt VerdantBamboo als hochgradig kompetenten Akteur, der gezielt Geräte angreift, auf denen traditionell keine oder keine vollwertige EDR-Software installiert ist. Die Gruppe zeigt ein tiefes Verständnis für proprietäre Appliances und entwickelt für jedes kompromittierte Gerät individuelle Mechanismen zur Persistenz.

Zu den charakteristischen Merkmalen der operativen Disziplin von VerdantBamboo zählen der Einsatz nur weniger Domains und IP-Adressen pro Opfer sowie eine individuell angepasste Benennung der Implantate.

Bemerkenswert ist, dass PLENET bereits in Berichten im Zusammenhang mit der Ausnutzung der kritischen Schwachstelle CVE-2026-22769 (CVSS 10.0) in Dell RecoverPoint for Virtual Machines erwähnt wurde, die nach vorliegenden Informationen seit Mitte 2024 als Zero-Day-Schwachstelle ausgenutzt wurde.

Einschätzung der Auswirkungen

Die Kampagne von VerdantBamboo stellt aus mehreren Gründen ein hohes Risiko für Organisationen dar:

  • Supply-Chain-Angriff: Die Kompromittierung eines MSP verschafft Angreifern potenziell Zugriff auf sämtliche Kunden des Providers, nicht nur auf ein einzelnes Opfer.
  • Blindspots im Monitoring: Firewalls, NAS-Geräte und File-Sync-Server werden in der Regel nicht von EDR-Lösungen abgedeckt und eignen sich daher ideal als Punkte für eine langfristige Verankerung.
  • Lange Verweildauer: Der 18‑monatige Zeitraum unentdeckten Zugriffs vor der Identifizierung weist auf die Fähigkeit der Gruppe hin, eine dauerhafte Präsenz in der Infrastruktur aufrechtzuerhalten.
  • Resilienz gegenüber Incident Response: Nach der ersten Eindämmung des Vorfalls stellten die Angreifer den Zugriff über alternative Kanäle wieder her, was auf mehrere Persistenzpunkte schließen lässt.

Am stärksten gefährdet sind Organisationen, die Managed Services externer Provider nutzen, sowie Unternehmen mit einem großen Bestand an Netzwerkgeräten ohne zentrales Security-Monitoring.

Empfehlungen zum Schutz

  1. Aktualisieren Sie Egnyte Storage Sync auf Version 13.13 oder höher, in der die Schwachstelle zur Privilegienerweiterung behoben wurde.
  2. Führen Sie einen Audit Ihrer pfSense-Firewalls durch und prüfen Sie auf untypische Prozesse, unbekannte Executables und verdächtige SSL-VPN-Konfigurationen, insbesondere wenn die Geräte von einem externen MSP verwaltet werden.
  3. Überprüfen Sie Synology NAS-Geräte auf ungewöhnliche SSH-Verbindungen, unbekannte Binärdateien und unübliche Mechanismen für den automatischen Start.
  4. Rotieren Sie sämtliche administrativen Zugangsdaten für Netzwerkgeräte, VPN-Gateways und Cloud-Services, einschließlich Microsoft 365, insbesondere wenn ein Verdacht auf eine Kompromittierung des MSP besteht.
  5. Implementieren Sie Monitoring des Netzwerkverkehrs auf Peripheriegeräten: Überwachen Sie anomale ausgehende Verbindungen von Firewalls und NAS sowie untypische Nutzung von SSL VPN.
  6. Bewerten Sie die Sicherheit Ihres MSP: Fordern Sie von Ihrem Managed Service Provider einen Nachweis über Integritätsprüfungen der Infrastruktur und die Ergebnisse von Security-Audits an.

Die Kampagne von VerdantBamboo verdeutlicht einen systematischen Wandel in der Taktik fortgeschrittener Gruppen – weg von Angriffen auf Endpunkte hin zur Kompromittierung von Netzwerkgeräten, die außerhalb der Sichtweite von EDR liegen. Organisationen sollten zunächst alle Peripheriegeräte – Firewalls, NAS, Sync-Server – inventarisieren und für diese zumindest ein grundlegendes Monitoring der Dateisystemintegrität und der Netzwerkverbindungen etablieren sowie Egnyte Storage Sync umgehend aktualisieren und Zugangsdaten auf Geräten rotieren, die über einen MSP verwaltet werden.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen