Der VPN-Router 1780EW-4G+ ist ab sofort für 899 Euro zuzüglich Mehrwertsteuer lieferbar. (Bild: Lancom)
Forscher des Cybersicherheitsanbieters Lumen haben einen mehrstufigen Remote Access Trojan entdeckt. Die als ZuoRAT bezeichnete Malware wird demnach derzeit gegen Small Office/Home Office Router in Europa und auch Nordamerika eingesetzt. Lumen geht davon aus, dass die Schadsoftware bereits seit 2020 aktiv ist.
Wie BleepingComputer berichtet, gehen die Forscher davon aus, dass hinter den meist sehr zielgerichteten Angriffen Bedrohungsakteure stecken, die mit staatlicher Unterstützung handeln. Darauf soll die Komplexität der Kampagne sowie die Taktiken, Techniken und Prozeduren der Angreifer hinweisen.
Abgesehen haben es die Hintermänner demnach auf Nutzer, die bedingt durch die COVID-19-Pandemie im Home Office arbeiten und von dort über SOHO-Router auf das Firmennetzwerk zugreifen. „Dies bot Bedrohungsakteuren eine neue Gelegenheit, Heimgeräte wie SOHO-Router – die weit verbreitet sind, aber selten überwacht oder gepatcht werden – zu nutzen, um Daten während der Übertragung zu sammeln, Verbindungen zu kapern und Geräte in benachbarten Netzwerken zu kompromittieren.“
Forscher finden mindestens 80 Opfer von ZuoRAT
Die Malware an sich gelangt der Analyse zufolge über bekannte Sicherheitslücken auf die Router. Dabei soll ZuoRAT in der Lage sein, per Skript auch eine Authentifizierung zu umgehen. Außerdem könne ZuoRAT weitere Geräte im Netzwerk infizieren und auch per DNS- und HTTP-Hijacking zusätzliche Schadsoftware einschleusen.
Auf gehackten Geräten fanden die Forscher zudem zwei weitere Trojaner. Einer basierte auf C++ und war auf Windows-Workstations ausgerichtet. Der andere Trojaner basierte auf der Programmiersprache Go und griff neben Windows auch Linux und macOS an. Sie erlaubten des den Angreifern unter anderem, neue Prozesse zu starten, sich einen dauerhaften Zugang zu den infizierten Systemen zu verschaffen, Netzwerkverkehr abzufangen und beliebige Dateien hoch- oder herunterzuladen.
Die Forscher gehen davon aus, dass im Lauf der Kampagne bisher mindestens 80 Opfer infiziert wurden. „Dieser Grad an Raffinesse lässt vermuten, dass diese Kampagne nicht auf die geringe Zahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist“, ergänzten die Forscher.
Politik, Wirtschaft und Privatpersonen müssen gemeinsam handeln, um Schutzmechanismen zu entwickeln – ohne das innovative…
Geringere Nachfrage nach Cybersicherheitsfachleuten und Fokussierung auf technische als auch organisatorische Fähigkeiten liegen angesichts der…
Die Abhängigkeit von Drittanbietern erhöht das Risiko erheblich, denn jede Station in der Lieferkette kann…
Laut einer Studie von Bitkom und Hartmannbund haben 15 Prozent der hiesigen Praxen mindestens eine…
Fraunhofer-Forschende wollen die Wertschöpfungskette von Rohstoffen transparenter machen. Ziel ist eine bessere Kreislaufwirtschaft.
Lünendonk-Studie: 54 Prozent der befragten Verwaltungen wollen den Cloud-Anteil ihrer Anwendungen bis 2028 auf 40…
