ZuoRAT: Ausgeklügelte Attacken auf Home-Router und ihre Netze

Eine recht aufwendige Malware ist seit einiger Zeit dabei, lokale Netzwerke über Home-Router zu attackieren. Der ZuoRAT-Trojaner arbeitet dabei nach einem ziemlich ausgeklügelten Konzept, was für die üblichen Wald- und Wiesen-Kriminellen ungewöhnlich ist. Entdeckt wurde die Malware von Sicherheitsforschern bei den Black Lotus Labs. Nach einem ersten Fund konnte man den Schadcode auf diversen anderen Routern von Cisco, Netgear, Asus und DrayTek finden. Weitergehende Untersuchungen kamen zu dem Ergebnis, dass der Trojaner mindestens schon seit dem vierten Quartal des Jahres 2020 im Umlauf ist und bis heute aktiv genutzt wird.

ZuoRAT wurde speziell für die MIPS-Architekturen, die in vielen Routern zu finden sind, entwickelt. Die Malware bildet dabei im Wesentlichen erst einmal einen Brückenkopf für weitergehende Attacken. Sie setzt dabei auf zwei Verfahren:

  • Per DNS-Hijacking werden die Nutzer im Netzwerk hinter dem Router auf Webseiten umgeleitet, die unter der Kontrolle der Angreifer stehen.
  • Gleiches wird auch über HTTP-Hijacking versucht, wobei hier allerdings ein 302-Fehler generiert wird, der den User auf eine andere IP-Adresse umleitet.


Der Router als Brückenkopf

Wohin der jeweilige User dabei geschickt wird, hängt von den vorangegangenen Analysen der Malware ab - je nach Betriebssystem und Patch-Level versucht man den Anwender auf Seiten zu lenken, über die dann der jeweilige Rechner gezielt mit weiterer Malware infiziert werden kann. Allerdings sind nach Angaben der Sicherheitsforscher längst nicht alle Nutzer bedroht. Bevor ZuoRAT aktiv wird, sammelt der Schädling erst einmal Informationen über das Netzwerk, in das er eindringen konnte. Die Betreiber des Trojaners entscheiden dann, ob es sich um ein für sie lohnendes Ziel handelt.

Es zeigte sich, dass die eigentlichen Angriffe auf die Rechner vor allem bei Organisationen aus den USA und Europa erfolgten. Private User und Netze in anderen Regionen werden offenbar meist in Ruhe gelassen. Wer hinter der Malware steckt, ist derweil noch unklar. Die Sicherheitsforscher gehen allerdings angesichts der Komplexität der Kampagne davon aus, dass die Angreifer mit staatlichen Organisationen in Verbindung stehen. Denn normale Kriminelle würden eher einfachere Vorgehensweisen bevorzugen und auch direktere monetäre Erträge im Visier haben.

Siehe auch:
Internet, Daten, Netzwerk, Router, Switch, Datenübertragung, Kabel, Traffic, Telekommunikation, Gigabit, Ethernet, stecker, Binär, 720695, Patch-Feld, Netzwerkkabel, 1001 Internet, Daten, Netzwerk, Router, Switch, Datenübertragung, Kabel, Traffic, Telekommunikation, Gigabit, Ethernet, stecker, Binär, 720695, Patch-Feld, Netzwerkkabel, 1001
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!