Neue DDoS-Malware nutzt Jenkins, um Valve Source Engine Game-Server anzugreifen

Wenn es schlecht konfiguriert ist, kann es einen Endpunkt für die Ausführung , den Angreifer missbrauchen. In dieser Kampagne fanden die Angreifer eine Jenkins-Instanz mit einem schwachen Passwort und nutzten diese offene Tür, um bösartigen Code auf die Zielmaschine zu übertragen.

Die Angriffsart ist einfach, aber effektiv, da viele Organisationen Jenkins immer noch ohne starke Authentifizierung zugänglich lassen. Darktrace-Analysten identifizierten diese Bedrohung erstmals am 18.

März 2026, als ein Bedrohungsakteur ein Jenkins-Honeypot angriff, der Teil des globalen Honeypot-Netzwerks des Unternehmens namens „CloudyPots“ ist.

Moegliche Anwendungen

Weitere Untersuchungen des Threat Research Teams ätigten, dass das Botnetz speziell entwickelt wurde, um Valve Source Engine Spielserver anzugreifen, einschließlich solcher, die Counter-Strike und Team Fortress 2 betreiben.

Die Ergebnisse spiegeln ein breiteres Muster wider, bei dem Cyberangreifer zunehmend den Gaming-Sektor ins Visier nehmen, den Cloudflare als viert am stärksten angegriffene Branche weltweit identifiziert hat. Sobald ein Jenkins-Server kompromittiert ist, fallen die Malware Payloads sowohl für Windows- als auch für Linux-Systeme.

Unter Windows wird ein Payload unter einem Dateinamen gespeichert, der wie ein System-Update-File getarnt ist. Unter Linux zieht ein Bash-Befehl den Payload in das /tmp-Verzeichnis und führt ihn aus.

Moegliche Anwendungen

Die für die Zustellung und die Befehls- und Kontrollkommunikation verwendete IP gehört einem vietnamesischen Hosting-Anbieter, was ungewöhnlich ist, da die meisten Malware-Familien ihre Zustell- und C2-Infrastruktur getrennt halten, um eine bessere Widerstandsfähigkeit zu gewährleisten.

Das Botnetz unterstützt mehrere DDoS-Methoden, darunter UDP-Floods, TCP-Push-Angriffe und HTTP-Request-Floods. Eine Technik namens „attack_dayz“ sendet TSource Engine Query-Pakete, die dazu zwingen, dass Valve Source Engine Server große Datenmengen zurückgeben.

Durch das Überfluten eines Ziels mit kleinen Anfragen und das Auslösen großer Antworten kann ein Angreifer Serverressourcen mit vergleichsweise wenig Bandbreite erschöpfen, was ein gefährlicher Verstärkungsangriff für Betreiber.

Infektionsmechanismus und Persistenz Nach der Landung

Infektionsmechanismus und Persistenz Nach der Landung auf einem Linux-System arbeitet die Malware sofort daran, versteckt zu bleiben und der Entfernung zu widerstehen. Sie setzt Jenkins-Umgebungsvariablen auf „dontKillMe“ und täuscht Jenkins damit vor, den Prozess über seinen üblichen Timeout hinaus laufen zu lassen.

Ohne dies würde Jenkins den bösartigen Prozess automatisch beenden. Dieser kleine, aber effektive Schritt ermöglicht es der Malware, auf einem kompromittierten Server ohne sofortige Erkennung zu überleben.

Bösartiges Skript, dekodiert mit CyberChef (Quelle – DarkTrace) Die Malware löscht dann ihre ursprüngliche ausführbare Datei und benennt sich um, um wie ein legitimer Linux-Kernel-Prozess auszusehen, entweder „ksoftirqd/0“ oder „kworker“, beides auf Standard-Linux-Installationen zu finden.

Holz als technisches Geruest

Sie verwendet eine Double-Fork-Methode, um still als Hintergrund-Daemon zu laufen, und leitet alle Eingabe-, Ausgabe- und Fehlerkanäle auf /dev/null um, wodurch keine Protokolle zurückbleiben. Sie fängt auch Beendigungs-Signale wie SIGTERM ab und lässt sie ignorieren, was es schwieriger macht, den Prozess mit normalen Befehlen zu stoppen.

Stealth-Komponente der Hauptfunktion (Quelle – DarkTrace) Sobald es aktiv ist, verbindet sich die Malware mit dem C2-Server, meldet die Systemarchitektur und geht in eine Schleife, in der sie auf Angriffsanweisungen wartet.

Es gibt drei Dienstprogramm-Befehle: „PING“ für Keep-Alive-Prüfungen, „!stop“ zum Beenden und „!update“ um eine neuere Version vom C2-Server abzurufen und neu zu starten. Serverbetreiber, die Valve Source Engine Spielserver betreiben, sollten jetzt handeln, um die Exposition zu reduzieren.

Die Entfernung des öffentlichen Zugriffs auf

Die Entfernung des öffentlichen Zugriffs auf Jenkins-Endpunkte, die Durchsetzung einer starken Authentifizierung und die Überwachung des ausgehenden Datenverkehrs auf ungewöhnliche Verbindungen sind wesentliche erste Schritte.

Es wird auch empfohlen, TCP-Port 5444 auf der Firewall-Ebene zu blockieren, da die Nutzlast diesen Port für die C2-Kommunikation verwendet. Organisationen sollten die bestätigte Angreifer-IP 103[.]177.110.202 am Netzwerk-Perimeter blockieren und unverzüglich alle veröffentlichten Indikatoren für Kompromittierung überprüfen.

Sie uns auf