Categories: Cloud

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Forscher des Cybersicherheitsanbieters Lumen haben einen mehrstufigen Remote Access Trojan entdeckt. Die als ZuoRAT bezeichnete Malware wird demnach derzeit gegen Small Office/Home Office Router in Europa und auch Nordamerika eingesetzt. Lumen geht davon aus, dass die Schadsoftware bereits seit 2020 aktiv ist.

Wie BleepingComputer berichtet, gehen die Forscher davon aus, dass hinter den meist sehr zielgerichteten Angriffen Bedrohungsakteure stecken, die mit staatlicher Unterstützung handeln. Darauf soll die Komplexität der Kampagne sowie die Taktiken, Techniken und Prozeduren der Angreifer hinweisen.

Abgesehen haben es die Hintermänner demnach auf Nutzer, die bedingt durch die COVID-19-Pandemie im Home Office arbeiten und von dort über SOHO-Router auf das Firmennetzwerk zugreifen. „Dies bot Bedrohungsakteuren eine neue Gelegenheit, Heimgeräte wie SOHO-Router – die weit verbreitet sind, aber selten überwacht oder gepatcht werden – zu nutzen, um Daten während der Übertragung zu sammeln, Verbindungen zu kapern und Geräte in benachbarten Netzwerken zu kompromittieren.“

Forscher finden mindestens 80 Opfer von ZuoRAT

Die Malware an sich gelangt der Analyse zufolge über bekannte Sicherheitslücken auf die Router. Dabei soll ZuoRAT in der Lage sein, per Skript auch eine Authentifizierung zu umgehen. Außerdem könne ZuoRAT weitere Geräte im Netzwerk infizieren und auch per DNS- und HTTP-Hijacking zusätzliche Schadsoftware einschleusen.

Auf gehackten Geräten fanden die Forscher zudem zwei weitere Trojaner. Einer basierte auf C++ und war auf Windows-Workstations ausgerichtet. Der andere Trojaner basierte auf der Programmiersprache Go und griff neben Windows auch Linux und macOS an. Sie erlaubten des den Angreifern unter anderem, neue Prozesse zu starten, sich einen dauerhaften Zugang zu den infizierten Systemen zu verschaffen, Netzwerkverkehr abzufangen und beliebige Dateien hoch- oder herunterzuladen.

Die Forscher gehen davon aus, dass im Lauf der Kampagne bisher mindestens 80 Opfer infiziert wurden. „Dieser Grad an Raffinesse lässt vermuten, dass diese Kampagne nicht auf die geringe Zahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist“, ergänzten die Forscher.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Olympia Corp.: Microsoft schließt Windows-Insider-Programm für Enterprise-Funktionen

Das Programm existiert seit 2017. Es richtet sich an Nutzer, die neue Funktionen für Windows…

19 Stunden ago

Silicon DE im Fokus Podcast ERP Besser mit Branchenfokus

Im Podcast mit Carolina Heyder erörtert Michael Kempf, Vorstandsvorsitzender der MKS Software AG, wie ein…

20 Stunden ago

Zero Day Initiative verkürzt Fristen zur Offenlegung von Schwachstellen

Sie schrumpfen unter Umständen von 120 auf 30 Tage. Die neuen Fristen gelten aber nur…

21 Stunden ago

Dev Box: Microsoft testet cloudbasierte Entwickler-Workstation

Ab sofort steht eine öffentliche Vorabversion zur Verfügung. Die Dev Box basiert auf Azure Virtual…

2 Tagen ago

AWS, Azure und Google Cloud: Wachstum der größten Cloud-Anbieter schwächelt

Vor allem das Wachstum bei Infrastructure-as-a-Service (IaaS) verlangsamt sich. Nachfrage nach Managed Services nach wie…

2 Tagen ago

Transparentere Lieferketten und Lieferprognosen in Echtzeit

Textilhersteller Delta Galil setzt auf die Supply-Chain-Plattform Infor Nexus

2 Tagen ago