Remote Access Trojaner (RATs) kommen über vertrauenswürdige Cloud-Dienste

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

2 Min. Lesezeit
Foto: ©AdobeStock/Jackie Niam

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

Die neue Art von Cyberangriffen, erstmalig entdeckt von den Sicherheitsforschern von Cisco Talos, zeigt zwei wichtige Aspekte dieser Bedrohungsform auf: Erstens nutzen Cyberkriminelle die schnelle Bereitstellung von Infrastruktur in der Cloud-Umgebung von Microsoft und Amazon. Und zweitens setzen die Angriffe nicht nur auf einen Remote Access Trojaner (RAT) als Nutzlast, sondern auf drei verschiedene RATs.

Die Nutzung der öffentlichen Cloud-Infrastruktur stellt einen raffinierten Schachzug der Bedrohungsakteure dar – es erschwert den angewendeten Sicherheitslösungen, die Angriffe sofort als solche zu erkennen. Das Hosting in Kombination mit komplexen Verschleierungstechniken in den Downloader-Skripten – die als JavaScript, Batch-Datei oder VBScript ausgeführt wurden, macht die Identifizierung noch schwieriger.

Die Verwendung mehrerer RATs – Nanocore, Netwire und AsyncRAT – zeigt, dass die Cyberkriminellen verstanden haben, dass für jede Situation das passende Tool verwendet werden muss. Nanocore ist eine kleine tragbare 32-Bit-.NET-Datei. Netwire ist ein Trojaner, der Daten stiehlt, und AsyncRAT ist auf die Fernüberwachung und -steuerung von Computern ausgerichtet. Die fortschrittliche Ausführung zeigt, dass Cyberkriminelle ihre Angriffsmethoden wirklich sorgfältig durchdenken, genau überlegen, wie sie entdeckt werden könnten und große Anstrengungen unternehmen, um eine Entdeckung zu vermeiden, während sie genau die richtige Nutzlast bereitstellen, um den Rest ihrer kriminellen Handlungen erfolgreich auszuführen.

Laut Talos beginnen die Angriffe alle mit einer einfachen Phishing-Kampagne mittels einer bösartigen ZIP-Datei als Anhang. Diese klassische Phishing-E-Mail ist meist als Rechnung getarnt. Die Mails besitzen ZIP-Dateien als Anhänge, die nach dem Öffnen ein ISO-Image offenlegen. Die ISO-Datei ist mit einem bösartigen Ladeprogramm für die Trojaner ausgestattet, das entweder über JavaScript, eine Windows-Batch-Datei oder ein Visual Basic-Skript ausgeführt wird. Wenn ein Opfer nun versucht, das Disk-Image zu laden, werden die bösartigen Skripte ausgelöst.

Trotz der enormen Angriffsfläche, die bei dieser perfiden Phishing-Kampagne gegeben ist, gibt es auch eine erfreuliche Nachricht für die Sicherheitsteams der Unternehmen. Jeder Mitarbeiter, der ein Security Awareness Training absolviert hat, sollte nämlich leicht erkennen, dass eine Rechnung nicht als HTML-Anhang versendet wird. Es sind bereits diese kleinen Anzeichen von Täuschungen, die die geschulten Benutzer verinnerlichen, und das angeeignete Wissen kann dann bei der alltäglichen Interaktion mit verdächtigen E-Mails und der Kommunikation über das Internet allgemein helfen, um einen potenziell bösartigen Angriff zu erkennen und ihn zu stoppen. So kann ein erheblicher finanzieller Schaden für das Unternehmen abgewendet werden, indem die Mitarbeiter sich auf ihr antrainiertes Sicherheitsbewusstsein berufen und sich somit nicht hinters Licht führen lassen, egal wie ausgeklügelt die Strategien der Bedrohungsakteure sind.

Andere interessante News

Webinar

Kostenloses Webinar: kes live: Cybersecurity-Recht

Der Rechtswissenschaftler und Buchautor Dennis-Kenji Kipker gibt einen Überblick über Regularien und Fallstricke des allgemeinen Cybersecurity-Rechts.

Wie ein DDoS-Angriff am besten zu verteidigen ist

Während DDoS früher in erster Linie für politisch-soziale Proteste oder zur Eigenwerbung eingesetzt wurden, sind die Angriffe jetzt hauptsächlich erpresserischer Natur. Aber egal welches Motiv, für die erfolgreiche Verteidigung sind einige Grundregeln dringend zu beachten.

Funktion im Microsoft Virenschutz öffnet Ransomware die Türen

Fast jeder aktuelle Windows-Rechner hat den Microsoft Windows Defender vorinstalliert. Doch das Programm bietet nicht nur Schutz: Das darin enthaltene Befehlszeilentool bietet Angriffspunkte für kriminelle Akteure der „LockBit“-Gruppe.