Home » News » Cybersecurity » Remote Access Trojaner (RATs) kommen über vertrauenswürdige Cloud-Dienste

Remote Access Trojaner (RATs) kommen über vertrauenswürdige Cloud-Dienste

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

2 Min. Lesezeit
Foto: ©AdobeStock/Jackie Niam

Mit Hilfe von Cloud-Anbietern wie Microsoft Azure und AWS bauen Cyberkriminelle eine funktionierende Infrastruktur auf, um ihre bösartigen Operationen zu verbergen und einer Entdeckung zu entgehen.

Die neue Art von Cyberangriffen, erstmalig entdeckt von den Sicherheitsforschern von Cisco Talos, zeigt zwei wichtige Aspekte dieser Bedrohungsform auf: Erstens nutzen Cyberkriminelle die schnelle Bereitstellung von Infrastruktur in der Cloud-Umgebung von Microsoft und Amazon. Und zweitens setzen die Angriffe nicht nur auf einen Remote Access Trojaner (RAT) als Nutzlast, sondern auf drei verschiedene RATs.

Die Nutzung der öffentlichen Cloud-Infrastruktur stellt einen raffinierten Schachzug der Bedrohungsakteure dar – es erschwert den angewendeten Sicherheitslösungen, die Angriffe sofort als solche zu erkennen. Das Hosting in Kombination mit komplexen Verschleierungstechniken in den Downloader-Skripten – die als JavaScript, Batch-Datei oder VBScript ausgeführt wurden, macht die Identifizierung noch schwieriger.

Die Verwendung mehrerer RATs – Nanocore, Netwire und AsyncRAT – zeigt, dass die Cyberkriminellen verstanden haben, dass für jede Situation das passende Tool verwendet werden muss. Nanocore ist eine kleine tragbare 32-Bit-.NET-Datei. Netwire ist ein Trojaner, der Daten stiehlt, und AsyncRAT ist auf die Fernüberwachung und -steuerung von Computern ausgerichtet. Die fortschrittliche Ausführung zeigt, dass Cyberkriminelle ihre Angriffsmethoden wirklich sorgfältig durchdenken, genau überlegen, wie sie entdeckt werden könnten und große Anstrengungen unternehmen, um eine Entdeckung zu vermeiden, während sie genau die richtige Nutzlast bereitstellen, um den Rest ihrer kriminellen Handlungen erfolgreich auszuführen.

Laut Talos beginnen die Angriffe alle mit einer einfachen Phishing-Kampagne mittels einer bösartigen ZIP-Datei als Anhang. Diese klassische Phishing-E-Mail ist meist als Rechnung getarnt. Die Mails besitzen ZIP-Dateien als Anhänge, die nach dem Öffnen ein ISO-Image offenlegen. Die ISO-Datei ist mit einem bösartigen Ladeprogramm für die Trojaner ausgestattet, das entweder über JavaScript, eine Windows-Batch-Datei oder ein Visual Basic-Skript ausgeführt wird. Wenn ein Opfer nun versucht, das Disk-Image zu laden, werden die bösartigen Skripte ausgelöst.

Trotz der enormen Angriffsfläche, die bei dieser perfiden Phishing-Kampagne gegeben ist, gibt es auch eine erfreuliche Nachricht für die Sicherheitsteams der Unternehmen. Jeder Mitarbeiter, der ein Security Awareness Training absolviert hat, sollte nämlich leicht erkennen, dass eine Rechnung nicht als HTML-Anhang versendet wird. Es sind bereits diese kleinen Anzeichen von Täuschungen, die die geschulten Benutzer verinnerlichen, und das angeeignete Wissen kann dann bei der alltäglichen Interaktion mit verdächtigen E-Mails und der Kommunikation über das Internet allgemein helfen, um einen potenziell bösartigen Angriff zu erkennen und ihn zu stoppen. So kann ein erheblicher finanzieller Schaden für das Unternehmen abgewendet werden, indem die Mitarbeiter sich auf ihr antrainiertes Sicherheitsbewusstsein berufen und sich somit nicht hinters Licht führen lassen, egal wie ausgeklügelt die Strategien der Bedrohungsakteure sind.

Andere interessante News

Datensicherheit, Schwachstelle

Schwachstelle im Foxit PDF-Reader wird für Phishing ausgenutzt

Forscher haben ein ungewöhnliches Verhaltensmuster bei der Ausnutzung von PDF-Dateien entdeckt. Der Exploit zielt hauptsächlich auf Benutzer von Foxit Reader, der neben Adobe Acrobat Reader mit mehr als 700 Millionen Nutzern in mehr als 200 Ländern einer der prominenten PDF-Viewer ist. Über die Ausnutzung der Schwachstelle lassen sich Sicherheitswarnungen auslösen, die ahnungslose Benutzer verleiten könnten, schädliche Befehle auszuführen.

Deepfake-Anrufe

Deepfake-Phishing braucht verstärkte Sensibilisierungsmaßnahmen

Ein Mitarbeiter eines Passwortmanager-Unternehmens wurde kürzlich Ziel eines Deepfake-Phishing-Angriffs, bei dem sich der Angreifer als CEO ausgab. Durch seine Schulung konnte der Mitarbeiter den Betrug rechtzeitig erkennen. Dies verdeutlicht das Risiko solcher Angriffe und die Bedeutung der Mitarbeiterschulung für die Verteidigung von Unternehmen.

Sicherheitsbedrohungen

KI-gestützte Phishing-Angriffe erreichen neue Dimensionen

Ein neuer Report zeigt, dass Bedrohungsakteure zunehmend generative KI nutzen, um ihre Phishing-Kampagnen zu verbessern. Diese Entwicklung markiert einen Paradigmenwechsel in der Cyberkriminalität und im Phishing, da Cyberkriminelle mit dieser Technologie schnell überzeugende Kampagnen erstellen können, die bisherige Standards übertreffen.