ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Stefan Beiersmann,
VPN-Router 1780EW-4G+ (Bild: Lancom)

Die Malware ist bereits seit 2020 im Umlauf. Die Hintermänner setzten ZuoRAT nur für zielgerichtete Attacken ein. Sicherheitsforscher vermuten, dass die Angreifer staatliche Unterstützung erhalten.

Forscher des Cybersicherheitsanbieters Lumen haben einen mehrstufigen Remote Access Trojan entdeckt. Die als ZuoRAT bezeichnete Malware wird demnach derzeit gegen Small Office/Home Office Router in Europa und auch Nordamerika eingesetzt. Lumen geht davon aus, dass die Schadsoftware bereits seit 2020 aktiv ist.

Wie BleepingComputer berichtet, gehen die Forscher davon aus, dass hinter den meist sehr zielgerichteten Angriffen Bedrohungsakteure stecken, die mit staatlicher Unterstützung handeln. Darauf soll die Komplexität der Kampagne sowie die Taktiken, Techniken und Prozeduren der Angreifer hinweisen.

Abgesehen haben es die Hintermänner demnach auf Nutzer, die bedingt durch die COVID-19-Pandemie im Home Office arbeiten und von dort über SOHO-Router auf das Firmennetzwerk zugreifen. „Dies bot Bedrohungsakteuren eine neue Gelegenheit, Heimgeräte wie SOHO-Router – die weit verbreitet sind, aber selten überwacht oder gepatcht werden – zu nutzen, um Daten während der Übertragung zu sammeln, Verbindungen zu kapern und Geräte in benachbarten Netzwerken zu kompromittieren.“

Forscher finden mindestens 80 Opfer von ZuoRAT

Die Malware an sich gelangt der Analyse zufolge über bekannte Sicherheitslücken auf die Router. Dabei soll ZuoRAT in der Lage sein, per Skript auch eine Authentifizierung zu umgehen. Außerdem könne ZuoRAT weitere Geräte im Netzwerk infizieren und auch per DNS- und HTTP-Hijacking zusätzliche Schadsoftware einschleusen.

Auf gehackten Geräten fanden die Forscher zudem zwei weitere Trojaner. Einer basierte auf C++ und war auf Windows-Workstations ausgerichtet. Der andere Trojaner basierte auf der Programmiersprache Go und griff neben Windows auch Linux und macOS an. Sie erlaubten des den Angreifern unter anderem, neue Prozesse zu starten, sich einen dauerhaften Zugang zu den infizierten Systemen zu verschaffen, Netzwerkverkehr abzufangen und beliebige Dateien hoch- oder herunterzuladen.

Die Forscher gehen davon aus, dass im Lauf der Kampagne bisher mindestens 80 Opfer infiziert wurden. „Dieser Grad an Raffinesse lässt vermuten, dass diese Kampagne nicht auf die geringe Zahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist“, ergänzten die Forscher.