Ein neu entdeckter Remote-Access-Trojaner (RAT) namens ZuoRAT hat es auf Remote-Mitarbeiter abgesehen, indem er Schwachstellen in häufig ungepatchten SOHO-Routern (Small Office/Home Office) ausnutzt.

Forscher der Black Lotus Labs Threat Intelligence Unit von Lumen Technologies berichten, dass ZuoRAT Teil einer sehr gezielten, ausgeklügelten Kampagne ist, die seit fast zwei Jahren, beginnend im Oktober 2020, auf Arbeitnehmer in Nordamerika und Europa abzielt. „Die von den Analysten beobachteten Taktiken, Techniken und Verfahren (TTPs) sind hochentwickelt und tragen die Merkmale eines wahrscheinlich nationalstaatlichen Bedrohungsakteurs“, so Lumen.

Lumen erklärt, dass, als die Pandemie im März 2020 die Arbeitnehmer nach Hause schickte, die Bedrohungsakteure eine neue Gelegenheit bekamen, SOHO-Router – oder Edge-Netzwerkgeräte – ins Visier zu nehmen, die von den Netzwerkadministratoren der Unternehmen nur selten überwacht oder gepatcht werden und die außerhalb der traditionellen Netzwerkperimeter liegen.

Das Unternehmen ist der Ansicht, dass die Fähigkeiten der Malware darauf hindeuten, dass es sich um das Werk eines hochentwickelten Akteurs handelt.

Zu diesen Fähigkeiten gehören Zugang zu SOHO-Geräten verschiedener Marken und Modelle, Sammeln von Host- und LAN-Informationen zur Information über die Zielsetzung, Sampling und Hijacking der Netzwerkkommunikation, um potenziell dauerhaften Zugang zu Geräten im Inland zu erlangen, und eine absichtlich getarnte C2-Infrastruktur, die mehrstufige Silo-Router-zu-Router-Kommunikation nutzt.

Lumen räumt ein, dass es nur einen kleinen Einblick in die breiteren Fähigkeiten des Akteurs hat, aber seine Forscher schätzen mit „hohem Vertrauen“, dass die Elemente, die es verfolgt, Teil einer breiteren Kampagne sind. Außerdem schätzt Lumen, dass diese Kampagne mindestens 80 Ziele betroffen hat, aber wahrscheinlich noch viel mehr. Black Lotus Labs stellt fest, dass es Telemetrie beobachtet hat, die auf Infektionen hinweist, die von zahlreichen SOHO-Router-Herstellern stammen, darunter ASUS, Cisco, DrayTek und Netgear.

Zu den Bestandteilen der Kampagne, die die Forscher bisher ausfindig gemacht haben, gehören der ZuoRAT für SOHO-Router, ein in C++ kompilierter Loader für Windows und drei Agenten, die die Enumeration von Geräten, das Herunter- und Hochladen von Dateien, das Hijacking der Netzwerkkommunikation (DNS/HTTP) und die Prozessinjektion ermöglichen.

Zu den drei Agenten gehören:

CBeacon – Ein speziell entwickeltes, in C++ geschriebenes RAT, das in der Lage war, Dateien hoch- und herunterzuladen, beliebige Befehle auszuführen und auf dem infizierten Computer über eine COM-Hijacking-Methode (Component Object Model) zu verbleiben.

GoBeacon – Ein speziell entwickelter RAT, der in Go geschrieben wurde. Dieser Trojaner verfügte über fast dieselbe Funktionalität wie CBeacon, ermöglichte aber auch die Cross-Kompilierung auf Linux- und MacOS-Geräten.

Cobalt Strike – In einigen Fällen wurde dieses leicht verfügbare Remote Access Framework anstelle von CBeacon oder GoBeacon verwendet.

„Router-Malware-Kampagnen stellen eine ernste Bedrohung für Unternehmen dar, da Router außerhalb des herkömmlichen Sicherheitsbereichs liegen und oft Schwachstellen aufweisen, die eine Kompromittierung relativ einfach machen“, so Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. „Unternehmen sollten SOHO-Geräte genau im Auge behalten und auf Anzeichen von Aktivitäten achten, die in dieser Untersuchung beschrieben werden. Der hohe Grad an Raffinesse lässt uns vermuten, dass diese Kampagne nicht auf die geringe Anzahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist.“

ZDNet.de Redaktion

Recent Posts

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Stunden ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

4 Stunden ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

6 Stunden ago

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

22 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

23 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

1 Tag ago