Categories: Cloud

ZuoRAT: Neue mehrstufige Malware greift SOHO-Router in Europa an

Forscher des Cybersicherheitsanbieters Lumen haben einen mehrstufigen Remote Access Trojan entdeckt. Die als ZuoRAT bezeichnete Malware wird demnach derzeit gegen Small Office/Home Office Router in Europa und auch Nordamerika eingesetzt. Lumen geht davon aus, dass die Schadsoftware bereits seit 2020 aktiv ist.

Wie BleepingComputer berichtet, gehen die Forscher davon aus, dass hinter den meist sehr zielgerichteten Angriffen Bedrohungsakteure stecken, die mit staatlicher Unterstützung handeln. Darauf soll die Komplexität der Kampagne sowie die Taktiken, Techniken und Prozeduren der Angreifer hinweisen.

Abgesehen haben es die Hintermänner demnach auf Nutzer, die bedingt durch die COVID-19-Pandemie im Home Office arbeiten und von dort über SOHO-Router auf das Firmennetzwerk zugreifen. „Dies bot Bedrohungsakteuren eine neue Gelegenheit, Heimgeräte wie SOHO-Router – die weit verbreitet sind, aber selten überwacht oder gepatcht werden – zu nutzen, um Daten während der Übertragung zu sammeln, Verbindungen zu kapern und Geräte in benachbarten Netzwerken zu kompromittieren.“

Forscher finden mindestens 80 Opfer von ZuoRAT

Die Malware an sich gelangt der Analyse zufolge über bekannte Sicherheitslücken auf die Router. Dabei soll ZuoRAT in der Lage sein, per Skript auch eine Authentifizierung zu umgehen. Außerdem könne ZuoRAT weitere Geräte im Netzwerk infizieren und auch per DNS- und HTTP-Hijacking zusätzliche Schadsoftware einschleusen.

Auf gehackten Geräten fanden die Forscher zudem zwei weitere Trojaner. Einer basierte auf C++ und war auf Windows-Workstations ausgerichtet. Der andere Trojaner basierte auf der Programmiersprache Go und griff neben Windows auch Linux und macOS an. Sie erlaubten des den Angreifern unter anderem, neue Prozesse zu starten, sich einen dauerhaften Zugang zu den infizierten Systemen zu verschaffen, Netzwerkverkehr abzufangen und beliebige Dateien hoch- oder herunterzuladen.

Die Forscher gehen davon aus, dass im Lauf der Kampagne bisher mindestens 80 Opfer infiziert wurden. „Dieser Grad an Raffinesse lässt vermuten, dass diese Kampagne nicht auf die geringe Zahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist“, ergänzten die Forscher.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

8 Stunden ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

9 Stunden ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

10 Stunden ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

1 Tag ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

1 Tag ago

High-Speed-Internet künftig auch im Reisezug?

Bahnreisende sollen bald deutlich höhere Datenraten nutzen können. In Mecklenburg-Vorpommern wird der Gigabit-Ausbau derzeit getestet.

1 Tag ago