Die chinesische Hackergruppe Evasive Panda missbraucht bei ihren Cyberangriffen das Domain Name System (DNS), das im Hintergrund unbemerkt läuft. Dabei werden Updates auf fremde Server umgeleitet, wodurch Schadsoftware unbemerkt installiert wird. Anstatt neue Sicherheitslücken auszunutzen oder Nutzer direkt zu täuschen, manipuliert die Gruppe den Weg der Daten. Der Updater fragt nach einer Adresse, erhält eine falsche Antwort und lädt so Malware herunter.
Betroffen waren Computer unter anderem in der Türkei, China und Indien, und die Kampagne erstreckte sich von November 2022 bis November 2024. Das DNS fungiert dabei wie eine unsichtbare Weiche: Für den Client sieht alles normal aus, die Domain stimmt, der Request wirkt korrekt. Doch die Auflösung führt zu einer manipulierten Maschine. Diese Methode, auch DNS-Vergiftung genannt, macht Angriffe nahezu unsichtbar und besonders gefährlich, da selbst scheinbar seriöse Updates infiziert werden können.
Die Schadsoftware, wie etwa MgBot oder Riskware Sohuva, wird dabei auf unauffällige Weise installiert. Sie hängt sich an legitime Prozesse, nutzt scheinbar normale Speicherorte und startet ohne sichtbare Hinweise. Selbst die Verwendung bekannter Domains wie dictionary.com erzeugt Vertrauen, während die Malware unbemerkt ausgeführt wird. Die Manipulation des DNS kann sowohl beim Provider als auch unterwegs erfolgen, was eine eindeutige Zuordnung erschwert.
Signierte Updates allein bieten keinen vollständigen Schutz, wenn der Updater der falschen IP-Adresse vertraut. Eine wirksame Prävention besteht darin, das DNS selbst zu betreiben, etwa durch eigene Resolver, und DNS über TLS oder DNS over HTTPS zu nutzen. DNSSEC kann zusätzlich die Sicherheit erhöhen, indem die Integrität der DNS-Antworten überprüft wird. Dennoch bleibt Vorsicht geboten: Einige Programme umgehen eigene DNS-Einstellungen, was das Risiko erhöht.
Die Vorgehensweise von Evasive Panda zeigt, dass Update-Sicherheit nicht nur von Signaturen und TLS abhängt, sondern auch davon, wer den Server kontrolliert. Wer das DNS selbst betreibt, verschlüsselt weiterleitet und DNSSEC validiert, erschwert Angreifern die Arbeit erheblich. Eine konsequente Absicherung des DNS kann entscheidend sein, um die Ausbreitung von Malware zu verhindern und kritische IT-Infrastrukturen zu schützen.
NIS-2 offiziell in Kraft: Neue Cybersecurity-Pflichten
https://it-news-blog.com/?p=3371
Wir sind Experten für Datenschutz und IT-Sicherheit
Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.
Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.
Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com
Alle unsere NEWS -> http://news.tec4net.com