Censys State of the Internet Report 2025: Malware-Infrastrukturen am Beispiel von Wainscot und BeaverTail
Ausgefeilte Malware-Infrastrukturen mit geopolitischem Bezug
(IINews) - Censys, einer der führenden Anbieter von Lösungen für Threat Hunting, Threat Intelligence und Attack Surface Management, analysiert in seinem diesjährigen Forschungsbericht die Infrastruktur von Cyberangriffen. Dabei werden exemplarisch zwei hochentwickelte Malware-Kampagnen beleuchtet. Beide Fälle geben Einblicke in die Infrastruktur und Taktik von Angreifern.
Wainscot
Die APT-Gruppe Secret Blizzard steht vermutlich mit Russland in Verbindung und griff gezielt die Command-and-Control-Infrastruktur von Storm-0156 an, ein vermutlich mit Pakistan verbundener Bedrohungscluster. Da Angriffe zwischen Bedrohungsgruppen, die mit Nationalstaaten verbunden sind, selten sind, führte Censys eine genauere Analyse dieser Kampagne durch.
Bei dem Angriff von Secret Blizzard auf storm-0156 wurde eine mutmaßliche Variante der Wainscot-Malware genutzt, um automatisch Daten aus dem angegriffenen System zu exfiltrieren. Interessant ist die mutmaßliche Modifizierung von Wainscot: Das beobachtete infizierte System begann nach der Verbindung direkt mit dem Senden von Dokumenten und Bildern, anstatt wie üblich die eingehende Anfrage zunächst mit einer Check-in-Anfrage zu starten. Ein einzelner mit Wainscot infizierter Host versuchte in unvorhersehbaren Abständen von einer anderen IPv4-Adresse aus, Daten zu exfiltrieren. Bei dem Ziel der Kampagne handelt es sich vermutlich um ein indisches Militärziel in einer ländlichen Konfliktzone. Es ist anzunehmen, dass Wainscot absichtlich modifiziert wurde, um die Exfiltration aus einem Zielsystem mit unzuverlässiger Internetverbindung zu unterstützen, indem Dateien verfolgt und extrahiert werden, sobald eine Internetverbindung besteht.
BeaverTail
Die Malware ist Teil einer Kampagne von mutmaßlich nordkoreanischen Akteuren, die auf den Diebstahl sensibler Informationen und die Vorbereitung weiterer Angriffe abzielt. Die Python-basierte Malware tarnt sich häufig als legitime Videokonferenzsoftware. Nach einer ersten Phase als Infostealer installiert sie InvisibleFerret, ein Tool für Keylogging und Fernsteuerung.
Das Forschungsteam von Censys entdeckte mehrere aktive Kontrollserver mit offenen TCP-Ports. Einige Server dienten ausschließlich der Kommunikation mit infizierten Hosts, andere boten ein Anmeldefenster, vermutlich als Interface zur Steuerung der kompromittierten Systeme. Überschneidende Nutzlasten deuten darauf hin, dass die Angreifer eine vorgeschaltete Proxy-Ebene einsetzen, um ihre Infrastruktur zu verschleiern.
Die Forscher von Censys beobachten bei BeaverTail eine klare Ausrichtung auf Softwareentwickler: Die Täter imitieren Arbeitsweisen von Freelance-Entwicklern, teilen Backdoor-Code auf GitHub und platzieren Loader über Paket-Repositories. Diese gezielte Anpassung erhöht die Erfolgschancen der Kampagnen erheblich. Dabei beruht die Effektivität von BeaverTail weniger auf technischer Komplexität, sondern vielmehr auf der hohen Anpassungsfähigkeit und Beharrlichkeit der Akteure - Eigenschaften, die eine anhaltende Bedrohung darstellen.
Mehrüber das konkrete Vorgehen der Forscher bei der Untersuchung der Wainscot- und BeaverTail-Kampagnen erfahren Sie im Blogbeitrag unterhttps://censys.com/blog/2025-state-of-the-internet-malware-investigations
Themen in diesem Fachartikel:
it
security
it
sicherheit
cybersecurity
cybersicherheit
threat-intelligence
threat-hunting
attack-surface-management
Unternehmensinformation / Kurzprofil:
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity& Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Sprengel& Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
censys(at)sprengel-pr.com
+49 (0) 26 61-91 26 0-0
https://www.sprengel-pr.com/
Datum: 20.08.2025 - 11:30 Uhr
Sprache: Deutsch
News-ID 2192243
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Eugenia Kendrick
Stadt:
Ann Arbor
Telefon: +1-877-438-9159
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 12 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Censys State of the Internet Report 2025: Malware-Infrastrukturen am Beispiel von Wainscot und BeaverTail"
steht unter der journalistisch-redaktionellen Verantwortung von
Censys, Inc.TM (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).