Aktuelles, Branche - geschrieben von dp am Dienstag, August 16, 2016 17:34 - noch keine Kommentare
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen
Palo Alto Networks beobachtet neuen, kommerziell erfolgreichen Remote-Access-Trojaner
[datensicherheit.de, 16.08.2016] Das Malware-Forschungsteam von Palo Alto Networks, die „Unit 42“, hat nach eigenen Angaben einen neuen Remote-Access-Trojaner (RAT) beobachtet, der unter dem Namen „Orcus“ zum Preis von 40 US-Dollar verkauft wird. Obwohl „Orcus“ alle typischen Merkmale von RAT-Malware aufweise, biete er Benutzern die Möglichkeit, eigene Plugins zu bauen. „Orcus“ habe zudem eine modulare Architektur – für eine bessere Verwaltung und Skalierbarkeit.
„Sorzus“ und „Armada“ offensichtlich die zentralen Akteure
Im Oktober 2015 habe der Entwickler von „Orcus“ unter dem Alias „Sorzus“ einen Thread in einem Hacker-Forum veröffentlichte, um ein Feedback einzuholen, wie er seinen neuen RAT-Trojaner am besten veröffentlichen würde. Ein Forumsbenutzer namens „Armada“ habe hierzu Hilfe angeboten.
Seitdem seien „Sorzus“ und „Armada“ offensichtlich die beiden zentralen Akteure, die den Vertrieb und die Entwicklung von „Orcus“ verwalteten.
Unterschiedliche Angriffsvektoren
„Orcus“ sei in „C#“ (gesprochen „C sharp“) entwickelt worden und habe drei Hauptkomponenten in seiner Architektur: den „Orcus“-Controller, den „Orcus“-Server und die Trojaner-Binärdatei, die auf einem infizierten Computer bereitgestellt werde.
Die Angriffsvektoren seien unterschiedlich und reichten von „Spear Phishing“ (mit der Malware-Binärdatei in einer E-Mail) über einen Hyperlink mit Download-Link zur „Orcus“-Malware bis hin zu Drive-by-Download-Methoden.
Aufbau bietet mehrere Vorteile für Cyber-Kriminelle
Sobald ein Opfer infiziert ist, verbindet sich laut Palo Alto Networks normalerweise die RAT-Malware zurück zum Admin-Panel des Angreifers, um Daten zu senden und die Steuerung des infizierten Rechners zu aktivieren. Bei „Orcus“ hingegen erfolge die Verbindung zurück zu einem „Orcus“-Server, auf dem kein Admin-Panel vorgehalten werde. Stattdessen nutze „Orcus“ eine separate Komponente als Admin-Panel („Orcus Controller“), über das die Steuerung aller infizierten Maschinen erfolge.
Dieser Aufbau biete mehrere Vorteile für die Cyber-Kriminellen. Zum Beispiel seien sie in der Lage, den Zugriff auf den befallenen Computer zu teilen, indem sie auf einen einzigen „Orcus Server“ zugriffen. So könne eine Gruppe von Cyber-Kriminellen besser zusammenarbeiten und ihre Opfernetzwerke verwalten. Diese seien auch problemlos skalierbar, indem mehrere „Orcus Server“ genutzt würden.
Vollständige Kontrolle über infizierte Computer
Der Entwickler habe nicht nur einen Controller-Build für „Windows“ erstellt, sondern auch eine „Android“-App für die Steuerung der infizierten Maschinen über ein „Android“-Gerät. Eine „Android“-App für die Controller-Komponente sei auch bei „Google Play“ verfügbar.
„Orcus“ weise mehrere Funktionen auf, die eine vollständige Kontrolle über die infizierten Computer ermöglichten, unter anderem: Keylogger, Screengrabs, Remote-Codeausführung, Webcam-Überwachung, Mikrofon-Recorder, Remote-Verwaltung, Passwort-Stealer, Denial of Service, VM-Erkennung und Infostealer.
Künftig mehr cyber-kriminelle Kampagnen zu erwarten
In Anbetracht der umfassenden Funktionen des Tool-Sets und der einfachen Skalierbarkeit sei der Erfolg von „Orcus“ keine Überraschung. So wachse seit dem Verkaufsstart Anfang 2016 die Nutzung und Akzeptanz des RAT unter Cyber-Kriminellen.
Angesichts der zunehmenden Beliebtheit sei es wahrscheinlich, dass künftig mehr cyber-kriminelle Kampagnen zu beobachten sein würden, bei denen „Orcus“ das Mittel der Wahl sei.
Als „Remote Administration Tool“ ausgegeben
Die hinter der Malware steckenden Akteure verkauften „Orcus“ über ein angeblich registriertes Unternehmen als „Remote Administration Tool“ und behaupteten, dass dieses Tool nur für legitime geschäftliche Nutzung ausgelegt sei.
Aufgrund der Funktionen, Architektur, Veröffentlichung und des Verkaufs in Hacker-Foren sei jedoch klar, so Palo Alto Networks, dass es „ein böswilliges Tool ist und dass die Zielgruppe Cyber-Kriminelle sind“.
Dies sei nicht ungewöhnlich, aber dennoch ein interessanter Fall: Entwickler, die den Code kostenlos oder als „Open Source“ veröffentlichen wollten, hätten sich an ein erfahrenes Hacker-Forum gewandt, woraus eine Zusammenarbeit und die Vermarktung eines kommerziellen RAT hervorgegangen sei. Im Falle von „Orcus“ gewinne dieses aufgrund seines breiten Funktionsumfangs und seiner flexiblen Architektur schnell an Akzeptanz in der cyber-kriminellen Szene.
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren