Jagd auf Malware im Gesundheitswesen, Teil 1: Silver Fox APT nimmt Philips DICOM Viewer ins Visier

Teil 1: Die Hackergruppe Silver Fox missbraucht Philips DICOM Viewer, um ein Random Access Tool (RAT) für Backdoor-Zugriffe einzuschleusen

Überblick

• Das Gesundheitswesen bleibt ein Hauptziel für Ransomware. Die Bedrohungen für diesen Sektor gehen jedoch über Ransomware noch hinaus.
• Wir haben eine Kampagne der von China aus operierenden APT-Gruppe Silver Fox identifiziert, bei der Philips DICOM Viewer ausgenutzt wurden, um eine Backdoor, einen Keylogger und einen Krypto-Miner auf den Computern der Opfer zu installieren.

Empfehlungen zur Risikominderung für Einrichtungen des Gesundheitswesens

• Laden Sie keine Software oder Dateien aus nicht vertrauenswürdigen Quellen herunter, einschließlich Patientengeräten.
• Implementieren Sie eine Netzwerksegmentierung, um nicht vertrauenswürdige Geräte/Netzwerke von internen Systemen zu isolieren.
• Führen Sie aktuelle Antiviren- oder EDR (Endpoint Detection and Response)-Lösungen aus.
• Überwachen Sie kontinuierlich die gesamte Netzwerk- und die Endpunkt-Telemetrie, um die unten aufgeführten IoCs zu erkennen.

UPDATE: Forescout Research – Vedere Labs liegen keine Beweise vor, dass Philips oder medizinische Geräte von Philips gehackt wurden, um bösartige Versionen des Philips DICOM Viewers zu verbreiten. Der Bedrohungsakteur hinter dieser Kampagne ist dafür bekannt, Techniken wie Phishing und Watering-Hole-Angriffe einzusetzen, um Malware zu verbreiten. Bei früheren Kampagnen, die sich gegen DICOM Viewer (nicht von Philips) richteten, wurden die gleichen Techniken angewandt.

---

Das Gesundheitswesen war sowohl 2023 als auch 2024 der am häufigsten angegriffene kritische Infrastrukturbereich. Bei vielen dieser Angriffe wurde Ransomware eingesetzt, was die Verfügbarkeit von Daten beeinträchtigen und potenziell die Versorgung von Patienten gefährden kann. Andere Bedrohungen für Gesundheitseinrichtungen wiederum nutzen direkt medizinische Anwendungen aus.

Bei einem Threat-Hunting-Projekt zur Suche nach neuer Schadsoftware haben wir einen Cluster mit 29 Malware-Samples identifiziert, die sich als Philips DICOM Viewer tarnen. Diese Samples installierten ValleyRAT, ein Backdoor Remote Access Tool (RAT), das die chinesische Hackergruppe Silver Fox einsetzt, um die Computer von Opfern unter Kontrolle zu bringen. Neben der Backdoor wurden die Opfer auch mit einem Keylogger und einem Krypto-Miner infiziert – ein Verhalten, das bei diesem Bedrohungsakteur bisher nicht bekannt war.

Nachfolgend legen wir eine detaillierte Analyse dieser neuen Silver Fox-Kampagne vor und skizzieren Strategien zur Risikominderung.

Der ermittelte Malware-Cluster

Der von uns aufgedeckte Malware-Cluster enthielt trojanisierte Versionen von MediaViewerLauncher.exe, der primären ausführbaren Datei für Philips DICOM Viewer. Alle identifizierten Stichproben wurden zwischen Dezember 2024 und Januar 2025 aus den USA oder Kanada an VirusTotal gesandt.

Ausgehend von den anfänglichen 29 Samples konnten wir zahlreiche weitere Instanzen identifizieren, die sich als andere Arten von Software tarnten. Diese Stichproben (gesammelt zwischen Juli 2024 und Januar 2025) weisen gemeinsame Merkmale auf, wie beispielsweise Techniken zur Umgehung der PowerShell-Sicherheitsmechanismen, spezifische Muster bei der Prozessausführung und gemeinsame Dateisystem-Artefakte.

Beachtenswert ist, dass sich die Samples evolutionär verhalten, was auf eine kontinuierliche Weiterentwicklung der Malware hindeutet:

• Juli 2024: 12 Samples führten grundlegende Aktionen zur Umgehung der Abwehr aus, mit einem einzigen PowerShell-Ausschlussbefehl, einfachen Prozessketten und minimaler Verwendung von Systemwerkzeugen.
• August 2024: Bei 13 Stichproben wurden mehrere PowerShell-Ausschlussbefehle, komplexere Prozessketten und eine erweiterte Nutzung von Systemwerkzeugen beobachtet.
• Oktober 2024 – Dezember 2024: Bei drei Stichproben wurden weitere Entwicklungen mit zusätzlichen Ausschlusspfaden und neue Dateisystem-Aktionen festgestellt.
• Januar 2025: Bei zwei Samples zeigten sich mehrere Ebenen von PowerShell-Befehlen, was von fortgeschrittenen Umgehungstechniken zeugt.

Die neuesten Malware-Samples tarnen sich als legitime Software, darunter MediaViewerLauncher.exe für DICOM Viewer und emedhtml.exe für EmEditor. Zudem waren einige Samples als Systemtreiber und Dienstprogramme getarnt, so etwa x64DrvFx.exe.

Die Geschichte von Silver Fox ATP

Silver Fox, auch bekannt als Void Arachne und The Great Thief of Valley, ist eine APT-Gruppe, die ihre Angriffe in der Vergangenheit vor allem gegen chinesischsprachige Regionen richtete und seit 2024 sehr aktiv ist. Im Lauf des letzten Jahres hat die Gruppe ihre Taktiken, Techniken und Verfahren (TTPs) weiterentwickelt und ihren Fokus auf ein breiteres Spektrum von Zielen ausgeweitet:

• Juni 2024: Silver Fox wird erstmals identifiziert, als die Gruppe chinesische Opfer mit einer Malware angreift, die den Trojaner Winos 4.0, auch bekannt als ValleyRAT, herunterlädt. Bei dieser Kampagne werden SEO-Poisoning, soziale Medien und Messaging-Plattformen genutzt, um Malware zu verbreiten, die sich als KI-Anwendungen oder VPN-Software tarnen.
• Juni 2024: Im weiteren Verlauf des Monats wird beobachtet, wie die Gruppe eine modifizierte Version von ValleyRAT mit DLL-Sideloading, Prozessinjektion sowie einem HTTP File Server (HFS) für den Download und die Command-and-Control (C2)-Kommunikation einsetzt.
• Juli 2024: Eine neue Analyse deutet darauf hin, dass es sich bei Silver Fox um eine APT-Gruppe handeln könnte, die sich nur als Cyberkriminelle tarnt, da sich ihr Fokus auf staatliche Einrichtungen und Cybersicherheitsunternehmen verlagert hat.
• August 2024: Eine weitere Angriffswelle richtet sich gegen Unternehmen in den Bereichen E-Commerce, Finanzen, Vertrieb und Management.
• September 2024: Es wird beobachtet, dass die Gruppe einen TrueSight-Treiber verwendet, um Antiviren-Software zu deaktivieren.
• November 2024: Die Gruppe Silver Fox verändert ihre Methoden zur Verbreitung von Winos/ValleyRAT und nutzt nun Gaming-Anwendungen als neuen Verteilmechanismus.
• Januar 2025: Erstmals wird der Loader PNGPlug im TTP-Arsenal der Gruppe identifiziert.
• Februar 2025: Eine neue Kampagne wird identifiziert, die sich gegen Mitarbeiter in den Bereichen Finanzen, Buchhaltung und Vertrieb richtet und auf den Diebstahl sensibler Daten abzielt.

Der neue Malware-Cluster, den wir identifiziert haben, enthält Dateinamen, die Anwendungen aus dem Gesundheitswesen imitieren, englischsprachige ausführbare Programmdateien sowie eingesandte Dateien aus den USA und Kanada. Dies könnte darauf hindeuten, dass die Gruppe ihre Aktivitäten auf neue Regionen und Sektoren ausweitet. Darüber hinaus lässt die Verwendung eines Krypto-Miners (Näheres siehe unten) darauf schließen, dass die Gruppe neue TTPs für ihre Angriffe einsetzt.

Überblick über das Verhalten der Malware: Von DICOM Viewer zu ValleyRAT

Die Samples in diesem Cluster, einschließlich MediaViewerLauncher.exe, dienen als Nutzlast der ersten Stufe, die über verschiedene Vektoren verbreitet werden kann. Die genaue Verbreitungsmethode können wir zwar nicht bestätigen, doch hat Silver Fox in der Vergangenheit SEO-Poisoning und Phishing eingesetzt, um Malware zu verteilen.

Die nachfolgende Abbildung veranschaulicht, wie die Ausführung der Malware abläuft, von der ersten Infektionsphase bis zur Bereitstellung der endgültigen Payloads. Im nächsten Abschnitt wird das Verhalten im Einzelnen aufgeschlüsselt.

Die Malware der ersten Stufe führt zwei wichtige vorbereitende Schritte durch, bevor sie weitere Nutzlasten ausführt:

• Beaconing und Sondierung: Die Malware führt native Windows-Dienstprogramme wie ping.exe, find.exe, cmd.exe und ipconfig.exe aus, um zu prüfen, ob das System den C2-Server erreichen kann.
• Umgehung von Sicherheitsmechanismen über PowerShell-Ausschlüsse:
  • August 2024: Einführung von PowerShell-Befehlen, die bewirken, dass bestimmte Pfade von der Überprüfung durch Windows Defender ausgeschlossen werden. So wird das System für weitere Angriffsphasen vorbereitet.

Add-MpPreference -ExclusionPath 'C:\ProgramData','C:\Users\Public' -Force

• • Dezember 2024 – Januar 2025: Ausweitung der Ausschlüsse auf weitere Systemverzeichnisse, verbesserte Tarnung:

Add-MpPreference -ExclusionPath 'C:\','C:\ProgramData','C:\Users','C:\Program Files (x86)' -Force

Nach Abschluss dieser Vorbereitungen wird in der ersten Phase ein Alibaba Cloud-Bucket kontaktiert, um mehrere verschlüsselte Nutzlasten herunterzuladen, die als Bilddateien getarnt sind. Zu diesen Nutzlasten, die am Ende dieses Berichts detailliert beschrieben werden, zählen:

• TrueSightKiller
• Eine Cyren AV DLL-Datei und eine ausführbare Datei
• Weitere Hilfsdateien und Shellcode

Nach dem Herunterladen entschlüsselt die Malware die Payloads und erzeugt eine bösartige ausführbare Datei (Malware der zweiten Stufe), die als geplante Aufgabe für Windows registriert wird. Diese Aufgabe wird sofort ausgeführt und ist so konfiguriert, dass sie bei jeder Benutzeranmeldung ausgeführt wird, um Persistenz auf dem infizierten System zu gewährleisten.

Die Malware der zweiten Stufe lädt die Cyren AV DLL, die eingeschleusten Code enthält, um ein Debuggen zu umgehen. Anschließend listet sie Systemprozesse auf, um verschiedene Arten von Sicherheitssoftware zu ermitteln (Details am Ende dieses Berichts), und beendet diese mit TrueSightKiller.

Sobald die Sicherheitsvorkehrungen deaktiviert sind, lädt die zweite Stufe der Malware eine verschlüsselte Datei herunter und entschlüsselt sie zur Nutzlast der dritten Stufe, nämlich das Backdoor- und Loadermodul von ValleyRAT, das mit einem in der Alibaba Cloud gehosteten C2-Server kommuniziert. ValleyRAT ruft dann weitere verschlüsselte Payloads ab, die nach der Entschlüsselung als Keylogger und Krypto-Miner dienen. Alle drei endgültigen Nutzlasten (Backdoor, Keylogger und Krypto-Miner) sorgen mithilfe geplanter Aufgaben dafür, dass sie dauerhaft auf dem Zielsystem verbleiben.

Zum Zeitpunkt dieser Analyse waren die Alibaba Cloud-Speicher-Buckets weiter erreichbar. Der C2-Server war dagegen bereits offline.

In jeder Malware-Phase werden Techniken zur Verschlüsselung, Verschleierung und Umgehung eingesetzt, die eine Entdeckung und Analyse verhindern sollen. Dazu zählen:

• Verschleierungsmethoden
  • API-Hashing zur Verschleierung von Funktionsaufrufen.
  • Indirekter API-Aufruf, um statische Analysen zu vermeiden.
  • Indirekte Manipulation von Programmabläufen, um Debuggen und Reverse Engineering zu erschweren.
• Umgehungstechniken
  • Lange Sleep-Intervalle, um die Ausführung zu verzögern und eine Sandbox-Erkennung zu umgehen.
  • System-Fingerprinting, um die Ausführung an die Zielumgebung anzupassen.
  • Maskiertes Laden von DLL-Dateien zum Umgehen der Sicherheitsüberwachung.
  • RPC-basiertes Planen von Aufgaben und Laden von Treibern, um die Standard-Prozessüberwachung zu umgehen.

Darüber hinaus fügt die Malware sowohl abgelegten als auch geladenen Dateien zufällig gewählte Bytes hinzu, was die Erkennung und eine Filehash-basierte Bedrohungssuche erheblich erschwert.

Detaillierte Analyse der Malware

Die folgende Analyse wurde für eine einzelne Malware-Stichprobe durchgeführt. Daher beziehen sich die hier angegebenen Dateinamen und Hashes speziell auf diese Stichprobe. Andere Samples im Cluster verwenden zwar andere Dateinamen, ihr Gesamtverhalten ist jedoch das gleiche.

Die Malware der ersten Stufe lädt eine erste verschlüsselte Datei namens i.dat aus einem Alibaba Cloud-Bucket unter vien3h[.]oss-cn-beijing[.]aliyuncs[.]com herunter. Die Datei i.dat enthält URLs zu sechs weiteren Dateien, die im selben Cloud-Bucket gehostet werden und bei der analysierten Stichprobe die Namen a.gif, b.gif, c.gif, d.gif, s.dat und s.jpeg trugen. Diese Dateien werden heruntergeladen, entschlüsselt und im Dateisystem unter neuen Dateinamen gespeichert. Beim analysierten Sample lauteten die Namen der entschlüsselten Dateien install.exe, vselog.dll, WordPadFilter.db, MsMpList.dat und 189atohci.sys. Die Datei s.jpeg wurde nicht in eine separate Datei entschlüsselt, sondern direkt als Shellcode im Speicher verarbeitet.

Der Shellcode scannt zunächst den Prozessspeicher nach kernel32.dll:GetProcAddress (Hash: 0x1ab9b854). Anschließend ruft er mit GetProcAddress die Adressen der folgenden kritischen Funktionen auf: LoadLibraryA, VirtualAlloc, VirtualFree und lstrcmpiA. Als nächstes lädt die Malware ntdll und ruft von dort die Adressen von RtlZeroMemory und RtlMoveMemory auf. Diese Funktionen werden anschließend zur Speichermanipulation und zum Entpacken der Nutzlast verwendet. Danach ruft der Shellcode VirtualAlloc auf, um Speicher zuzuweisen, und entpackt eine bösartige DLL, die später zur RPC-basierten Aufgabenplanung für bösartige Binärdateien verwendet wird.

Nun lädt der Shellcode RPCRT4.dll und ruft Referenzen auf die RPC-bezogenen Funktionen RpcBindingFromStringBindingW, RpcStringFreeW, RpcBindingComposeW, NdrClientCall3 und RpcBindingSetAuthInfoExA auf. Außerdem lädt er KERNEL32.dll und ruft Referenzen auf HeapAlloc und HeapFree auf. Mithilfe einer Funktion der Persistenz-DLL, die die benannte Pipe \\pipe\atsvc verwendet, erstellt die Malware eine Zeichenfolgenbindung der Form ncacn_np:[\\\pipe\\\\atsvc]. Anschließend erstellt sie eine RPC-Bindung und führt NdrClinetCall3 mit der folgenden XML-Aufgabenbeschreibung aus:

 

Damit wird in Windows eine Aufgabe zur Ausführung von TO7RUF.exe geplant, die der ausführbaren Cyren AV-Datei (vseamps.exe oder install.exe) entspricht. Diese Aufgabe ist so konfiguriert, dass sie sofort nach der Planung und dann bei jeder Anmeldung des aktuellen Benutzers ausgeführt wird, um Persistenz zu gewährleisten. Nach der Planung der Aufgabe bereinigt die Malware der ersten Stufe den gesamten dynamisch zugewiesenen Speicher und beendet sich, womit die zweite Stufe der Ausführung eingeleitet wird.

Die Malware der zweiten Stufe lädt zunächst die vselog.dll und springt zu deren DLLMain-Funktion, um zu prüfen, ob ein Debugger vorhanden ist, und eine Analyse zu umgehen. Zudem prüft sie, ob MsMpList.dat vorhanden ist, ein Schlüsselindikator, der für die weitere Ausführungslogik verwendet wird.

Um die Nutzlast der zweiten Stufe analysieren zu können, muss ein Breakpoint auf RtlUserThreadStart gesetzt und der Parameter RCX überwacht werden, der an diese Funktion übergeben wird. Nach der Ausführung lädt und entschlüsselt die Malware WordPadFilter.db und MsMpList.dat, schreibt beide Dateien mit WriteProcessMemory in den eigenen Prozessspeicher und ruft DisableThreadLibraryCalls auf, um zu verhindern, dass der Debugger das Laden der DLL unterbricht.

Dann wechselt die Ausführung zum entschlüsselten Shellcode von WordPadFilter.db und MsMpList.dat Shellcode, um nach installierter Sicherheitssoftware zu suchen. Wird eine Sicherheitssoftware erkannt, lädt die Malware über RPC-Aufrufe den TrueSightKiller-Treiber aus 189atohci.sys, führt DeviceIoControl aus, um die IOCTL-Nummer 0x22e044 mit dem Parameter MsMpEng und NisSrv.exe anzufordern, wodurch Windows Defender beendet und die systemeigene Netzwerküberwachung von Windows deaktiviert wird. So kann die Malware unentdeckt arbeiten.

Nach der Deaktivierung der Sicherheitsmechanismen stellt die Malware erneut eine Verbindung zu dem Alibaba Cloud-Bucket her und lädt vier weitere verschlüsselte Nutzlasten mit den Namen FOM-50.jpg, FOM-51.jpg, FOM-52.jpg und FOM-53.jpg herunter. Diese Dateien werden in OKSave.exe (im Speicher aus einer gutartigen uninstall.exe-Komponente von Internet Explorer erzeugt), tbcore3U.dll, log.src und utils.vcxproj entschlüsselt. Die Ausführung läuft dann folgendermaßen ab: OKSave.exe lädt die tbcore3U.dll, die wiederum Malware aus log.src und utils.vcxproj entpackt und ausführt und dabei sowohl einen Krypto-Miner als auch einen Keylogger bereitstellt, der Protokolle in C:\xxxx.in speichert.

In diesem Stadium befinden sich nun drei persistente, bösartige ausführbare Dateien auf dem System: die ValleyRAT-Backdoor, der Keylogger und der Krypto-Miner. Diese Malware-Komponenten werden entweder beim Systemstart oder bei Erstellung einer geplanten Aufgabe ausgeführt. Die Malware kommuniziert mit ihrem C2-Server, der in der Alibaba Cloud unter 8.217.60[.]40:8917 gehostet wird.

Fazit und Empfehlungen zur Risikominderung

Bei unserer Untersuchung haben wir eine neue Kampagne mit ausgefeilter und sich schnell entwickelnder Malware aufgedeckt, die von einem chinesischen Bedrohungsakteur eingesetzt wird. Bei der Kampagne werden trojanisierte DICOM Viewer als Köder genutzt, um die Systeme der Opfer mit einer Backdoor (ValleyRAT) für Fernzugriffe und Fernsteuerung, einem Keylogger zum Abfangen von Benutzeraktivitäten und Anmeldedaten sowie einem Krypto-Miner infizieren zu können, der Systemressourcen nutzt, um den Hackern finanzielle Gewinne zu verschaffen.

Zwar zielen diese trojanisierten DICOM Viewer wahrscheinlich weniger auf Krankenhäuser als auf Patienten ab, da Patienten häufig solche Anwendungen nutzen, um ihre eigenen medizinischen Bilder ansehen zu können. Dennoch besteht hier ein erhebliches Risiko für Gesundheitseinrichtungen. Wenn Patienten infizierte Geräte zur Diagnose in Krankenhäuser mitbringen oder beispielsweise neuartige „Hospital-at-home“-Programme nutzen, die sich auf patienteneigene Technologien stützen, könnten sich diese Infektionen über einzelne patienteneigene Geräte hinaus ausbreiten und es Angreifern ermöglichen, in Netzwerken von Gesundheitseinrichtungen Fuß zu fassen.

Um die Risiken zu minimieren und unbefugte Zugriffe zu verhindern, sollten Einrichtungen des Gesundheitswesens die folgenden Maßnahmen zur Risikominderung umsetzen:

• Laden Sie keine Software oder Dateien aus nicht vertrauenswürdigen Quellen herunter.
• Untersagen Sie das Laden von Dateien von Patientengeräten auf Workstations oder andere mit dem Netzwerk verbundene Geräte in Ihrer Einrichtung.
• Implementieren Sie eine starke Netzwerksegmentierung, um nicht vertrauenswürdige Geräte und Netzwerke (z. B. Gast-WLAN) von der internen Infrastruktur Ihrer Einrichtung zu isolieren.
• Stellen Sie sicher, dass alle Endgeräte durch aktuelle Antiviren- oder EDR-Lösungen geschützt sind.
• Überwachen Sie die gesamte Netzwerk- und Endpunkt-Telemetrie kontinuierlich auf verdächtige Aktivitäten.
• Suchen Sie proaktiv nach bösartigen Aktivitäten, die mit dem bekannten Verhalten von Bedrohungsakteuren übereinstimmen, um eine frühzeitige Erkennung und Reaktion zu gewährleisten.

IoCs und weitere Details

Die für diese Kampagne relevanten Indikatoren für Kompromittierungen (IoCs) sind im Threat Feed  von Forescout Vedere Labs verfügbar.

Nachfolgend eine Liste der Sicherheitssoftware, auf die die ausführbare Datei der zweiten Stufe explizit prüft:

["HipsMain.exe", "HipsTray.exe", "HipsDaemon.exe", "360Safe.exe", "360tray.exe", "360sd.exe", "MsMpEng.exe", "NisSrv.exe", "ZhuDongFangYu.exe", "SecurityHealthSystray.exe", "kscan.exe", "kwsprotect64.exe", "kxescore.exe", "kxetray.exe", "kxemain.exe", "ksetupwiz.exe", "QMDL.exe", "QMPersonalCenter.exe", "QQPCPatch.exe", "QQPCRealTimeSpeedup.exe", "QQPCRTP.exe", "QQPCTray.exe", "QQRepair.exe", "QQPCMgrUpdate.exe", "KSafeTray.exe", "mpcopyaccelerator.exe", "UnThreat.exe", "K7TSecurity.exe", "ad-watch.exe", "PSafeSysTray.exe", "vsserv.exe", "remupd.exe", "rtvscan.exe", "ashDisp.exe", "avcenter.exe", "TMBMSRV.exe", "knsdtray.exe", "avp.exe", "avpui.exe", "avgwdsvc.exe", "AYAgent.aye", "V3Svc.exe", "mssecess.exe", "QUHLPSVC.EXE", "RavMonD.exe", "KvMonXP.exe", "baiduSafeTray.exe", "BaiduSd.exe", "LAVService.exe", "LenovoTray.exe", "LenovoPcManagerService.exe", "LISFService.exe", "LnvSvcFdn.exe", "wsctrl10.exe", "wsctrl11.exe", "wsctrlsvc.exe", "wsctrl.exe", "Bka.exe", "BkavService.exe", "BkavSystemServer.exe", "BkavSystemService.exe", "BkavSystemService64.exe", "BkavUtil.exe", "BLuPro.exe", "BluProService.exe", "cefutil.exe", "PopWndLog.exe", "PromoUtil.exe", "QHActiveDefense.exe", "QHSafeMain.exe", "QHSafeScanner.exe", "QHSafeTray.exe", "QHWatchdog.exe"]

In der nachstehenden Tabelle sind die Dateien aufgeführt, die die Malware der ersten und zweiten Stufe herunterlädt, und zwar mit den Bezeichnungen sowohl vor als auch nach der Entschlüsselung. Zum Zeitpunkt der Analyse war keine dieser Dateien vor der Entschlüsselung von Antivirenlösungen als bösartig erkannt worden. Zum Zeitpunkt der Erstellung dieses Berichts wurden jedoch drei Dateien (vselog.dll, 189atohci.sys und FOM-51.jpg) nach der Entschlüsselung als bösartig gekennzeichnet. Zu beachten ist, dass nicht alle aufgelisteten Dateien als bösartig angesehen werden sollten, sondern nur diejenigen, die in der obigen IoC-Tabelle explizit genannt werden.