Home » News » Cybersecurity » Remote Access Trojaner (RATs) kommen über vertrauenswürdige Cloud-Dienste

Remote Access Trojaner (RATs) kommen über vertrauenswürdige Cloud-Dienste

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

2 Min. Lesezeit
Foto: ©AdobeStock/Jackie Niam

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

Die neue Art von Cyberangriffen, erstmalig entdeckt von den Sicherheitsforschern von Cisco Talos, zeigt zwei wichtige Aspekte dieser Bedrohungsform auf: Erstens nutzen Cyberkriminelle die schnelle Bereitstellung von Infrastruktur in der Cloud-Umgebung von Microsoft und Amazon. Und zweitens setzen die Angriffe nicht nur auf einen Remote Access Trojaner (RAT) als Nutzlast, sondern auf drei verschiedene RATs.

Die Nutzung der öffentlichen Cloud-Infrastruktur stellt einen raffinierten Schachzug der Bedrohungsakteure dar – es erschwert den angewendeten Sicherheitslösungen, die Angriffe sofort als solche zu erkennen. Das Hosting in Kombination mit komplexen Verschleierungstechniken in den Downloader-Skripten – die als JavaScript, Batch-Datei oder VBScript ausgeführt wurden, macht die Identifizierung noch schwieriger.

Die Verwendung mehrerer RATs – Nanocore, Netwire und AsyncRAT – zeigt, dass die Cyberkriminellen verstanden haben, dass für jede Situation das passende Tool verwendet werden muss. Nanocore ist eine kleine tragbare 32-Bit-.NET-Datei. Netwire ist ein Trojaner, der Daten stiehlt, und AsyncRAT ist auf die Fernüberwachung und -steuerung von Computern ausgerichtet. Die fortschrittliche Ausführung zeigt, dass Cyberkriminelle ihre Angriffsmethoden wirklich sorgfältig durchdenken, genau überlegen, wie sie entdeckt werden könnten und große Anstrengungen unternehmen, um eine Entdeckung zu vermeiden, während sie genau die richtige Nutzlast bereitstellen, um den Rest ihrer kriminellen Handlungen erfolgreich auszuführen.

Laut Talos beginnen die Angriffe alle mit einer einfachen Phishing-Kampagne mittels einer bösartigen ZIP-Datei als Anhang. Diese klassische Phishing-E-Mail ist meist als Rechnung getarnt. Die Mails besitzen ZIP-Dateien als Anhänge, die nach dem Öffnen ein ISO-Image offenlegen. Die ISO-Datei ist mit einem bösartigen Ladeprogramm für die Trojaner ausgestattet, das entweder über JavaScript, eine Windows-Batch-Datei oder ein Visual Basic-Skript ausgeführt wird. Wenn ein Opfer nun versucht, das Disk-Image zu laden, werden die bösartigen Skripte ausgelöst.

Trotz der enormen Angriffsfläche, die bei dieser perfiden Phishing-Kampagne gegeben ist, gibt es auch eine erfreuliche Nachricht für die Sicherheitsteams der Unternehmen. Jeder Mitarbeiter, der ein Security Awareness Training absolviert hat, sollte nämlich leicht erkennen, dass eine Rechnung nicht als HTML-Anhang versendet wird. Es sind bereits diese kleinen Anzeichen von Täuschungen, die die geschulten Benutzer verinnerlichen, und das angeeignete Wissen kann dann bei der alltäglichen Interaktion mit verdächtigen E-Mails und der Kommunikation über das Internet allgemein helfen, um einen potenziell bösartigen Angriff zu erkennen und ihn zu stoppen. So kann ein erheblicher finanzieller Schaden für das Unternehmen abgewendet werden, indem die Mitarbeiter sich auf ihr antrainiertes Sicherheitsbewusstsein berufen und sich somit nicht hinters Licht führen lassen, egal wie ausgeklügelt die Strategien der Bedrohungsakteure sind.

Andere interessante News

Fußball-WM Streaming-Seiten zocken Fans ab

Bereits wenige Tage nach Start der FIFA Fußball Weltmeisterschaft 2022 konnten die Sicherheitsforscher des Zscaler ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf Malware-infizierte Webseiten gelockt werden sollen.

Was die IT-Sicherheit 2022 bewegt hat

Fünf Entwicklungen haben die IT-Welt 2022 besonders in Atem gehalten. So sieht es Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea, in seinem Rückblick auf Trends und Entwicklungen, welche die IT-Branche im Jahr 2022 nachhaltig beeinflusst haben.

Keylogger: Wenn der Tastaturspion mitliest

Es existieren sowohl Software- als auch Hardware-Keylogger, wobei Software-Keylogger häufiger verbreitet sind. Ihre Wirkung jedoch ist die gleiche: Unbemerkt alle Tastatureingaben und Mausklicks ihrer Opfer aufzuzeichnen und die erbeuteten Daten an Cyberkriminelle zu übermitteln.