Die Arctic Wolf Labs Threat Intelligence Teams haben neue schädliche Aktivitäten im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in der Cleo Managed File Transfer (MFT)-Software beobachtet.
Im Dezember 2024 identifizierte Arctic Wolf Labs eine Mass-Exploitation-Kampagne, bei der Angreifer Cleo MFT-Lösungen für unberechtigten Fernzugriff nutzten. Die Angriffskette bestand aus einem verschleierten PowerShell-Stager, einem Java-Loader und einer Java-basierten Backdoor, die Arctic Wolf als „Cleopatra“ bezeichnet.
Die Kampagne begann am 7. Dezember 2024 und ist weiterhin aktiv. Die Cleopatra-Backdoor ermöglicht In-Memory-Dateispeicherung, unterstützt Windows und Linux und bietet spezifische Funktionen zum Zugriff auf in der Cleo MFT-Software gespeicherte Daten. Auffällig war, dass das initiale Scannen der Schwachstellen nur von zwei IP-Adressen ausging, während viele andere IPs als Command-and-Control (C2)-Ziele dienten.
Cleopatra-Backdoor stiehlt Daten
Zu den von Huntress aufgedeckten Informationen ergänzte Arctic Wolf zusätzliche Erkenntnisse. Dazu gehören eine visuelle Zeitleiste der Exploitation-Cluster, detaillierte Einsicht in die beiden IP-Adressen, die alle beobachteten Angriffe initiierten, sowie die Verknüpfung von bekannten Angreifer-HTTP-Aktivitäten mit dem schadhaften PowerShell-Befehl und einem fehlgeschlagenen Versuch der Ausgabeumleitung.
Zudem wurden Cleo-spezifische Funktionen innerhalb der Cleopatra-Backdoor identifiziert, die für gezielte Datenmanipulation genutzt werden. Weitere Analysen lieferten zusätzliche Erkenntnisse über die Erweiterungsfunktionen der Cleopatra-Backdoor, insbesondere im Bereich der In-Memory-Dateispeicherung und ihrer Anpassung an verschiedene Systeme.
Mehr bei Arcticwolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.