Aktuelles, Branche - geschrieben von dp am Dienstag, August 16, 2016 17:34 - noch keine Kommentare
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen
Palo Alto Networks beobachtet neuen, kommerziell erfolgreichen Remote-Access-Trojaner
[datensicherheit.de, 16.08.2016] Das Malware-Forschungsteam von Palo Alto Networks, die „Unit 42“, hat nach eigenen Angaben einen neuen Remote-Access-Trojaner (RAT) beobachtet, der unter dem Namen „Orcus“ zum Preis von 40 US-Dollar verkauft wird. Obwohl „Orcus“ alle typischen Merkmale von RAT-Malware aufweise, biete er Benutzern die Möglichkeit, eigene Plugins zu bauen. „Orcus“ habe zudem eine modulare Architektur – für eine bessere Verwaltung und Skalierbarkeit.
„Sorzus“ und „Armada“ offensichtlich die zentralen Akteure
Im Oktober 2015 habe der Entwickler von „Orcus“ unter dem Alias „Sorzus“ einen Thread in einem Hacker-Forum veröffentlichte, um ein Feedback einzuholen, wie er seinen neuen RAT-Trojaner am besten veröffentlichen würde. Ein Forumsbenutzer namens „Armada“ habe hierzu Hilfe angeboten.
Seitdem seien „Sorzus“ und „Armada“ offensichtlich die beiden zentralen Akteure, die den Vertrieb und die Entwicklung von „Orcus“ verwalteten.
Unterschiedliche Angriffsvektoren
„Orcus“ sei in „C#“ (gesprochen „C sharp“) entwickelt worden und habe drei Hauptkomponenten in seiner Architektur: den „Orcus“-Controller, den „Orcus“-Server und die Trojaner-Binärdatei, die auf einem infizierten Computer bereitgestellt werde.
Die Angriffsvektoren seien unterschiedlich und reichten von „Spear Phishing“ (mit der Malware-Binärdatei in einer E-Mail) über einen Hyperlink mit Download-Link zur „Orcus“-Malware bis hin zu Drive-by-Download-Methoden.
Aufbau bietet mehrere Vorteile für Cyber-Kriminelle
Sobald ein Opfer infiziert ist, verbindet sich laut Palo Alto Networks normalerweise die RAT-Malware zurück zum Admin-Panel des Angreifers, um Daten zu senden und die Steuerung des infizierten Rechners zu aktivieren. Bei „Orcus“ hingegen erfolge die Verbindung zurück zu einem „Orcus“-Server, auf dem kein Admin-Panel vorgehalten werde. Stattdessen nutze „Orcus“ eine separate Komponente als Admin-Panel („Orcus Controller“), über das die Steuerung aller infizierten Maschinen erfolge.
Dieser Aufbau biete mehrere Vorteile für die Cyber-Kriminellen. Zum Beispiel seien sie in der Lage, den Zugriff auf den befallenen Computer zu teilen, indem sie auf einen einzigen „Orcus Server“ zugriffen. So könne eine Gruppe von Cyber-Kriminellen besser zusammenarbeiten und ihre Opfernetzwerke verwalten. Diese seien auch problemlos skalierbar, indem mehrere „Orcus Server“ genutzt würden.
Vollständige Kontrolle über infizierte Computer
Der Entwickler habe nicht nur einen Controller-Build für „Windows“ erstellt, sondern auch eine „Android“-App für die Steuerung der infizierten Maschinen über ein „Android“-Gerät. Eine „Android“-App für die Controller-Komponente sei auch bei „Google Play“ verfügbar.
„Orcus“ weise mehrere Funktionen auf, die eine vollständige Kontrolle über die infizierten Computer ermöglichten, unter anderem: Keylogger, Screengrabs, Remote-Codeausführung, Webcam-Überwachung, Mikrofon-Recorder, Remote-Verwaltung, Passwort-Stealer, Denial of Service, VM-Erkennung und Infostealer.
Künftig mehr cyber-kriminelle Kampagnen zu erwarten
In Anbetracht der umfassenden Funktionen des Tool-Sets und der einfachen Skalierbarkeit sei der Erfolg von „Orcus“ keine Überraschung. So wachse seit dem Verkaufsstart Anfang 2016 die Nutzung und Akzeptanz des RAT unter Cyber-Kriminellen.
Angesichts der zunehmenden Beliebtheit sei es wahrscheinlich, dass künftig mehr cyber-kriminelle Kampagnen zu beobachten sein würden, bei denen „Orcus“ das Mittel der Wahl sei.
Als „Remote Administration Tool“ ausgegeben
Die hinter der Malware steckenden Akteure verkauften „Orcus“ über ein angeblich registriertes Unternehmen als „Remote Administration Tool“ und behaupteten, dass dieses Tool nur für legitime geschäftliche Nutzung ausgelegt sei.
Aufgrund der Funktionen, Architektur, Veröffentlichung und des Verkaufs in Hacker-Foren sei jedoch klar, so Palo Alto Networks, dass es „ein böswilliges Tool ist und dass die Zielgruppe Cyber-Kriminelle sind“.
Dies sei nicht ungewöhnlich, aber dennoch ein interessanter Fall: Entwickler, die den Code kostenlos oder als „Open Source“ veröffentlichen wollten, hätten sich an ein erfahrenes Hacker-Forum gewandt, woraus eine Zusammenarbeit und die Vermarktung eines kommerziellen RAT hervorgegangen sei. Im Falle von „Orcus“ gewinne dieses aufgrund seines breiten Funktionsumfangs und seiner flexiblen Architektur schnell an Akzeptanz in der cyber-kriminellen Szene.
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren