Security

Neue Malware ComRAT attackiert Hochsicherheits-Netzwerke

Der Angriff der Schadware ComRAT erfolgt über sogenanntes COM-Hijacking. Dabei wird eine Entwickler-Schnittstelle gekapert, wo sich der Angreifer festsetzt, lauscht und Daten ein- sowie ausschleust.

12.11.2014, 10:02 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Nicht jede Schadsoftware hat es auf Kreditkartendaten abgesehen, die auf einem persönlichen Rechner oder Smartphone gespeichert sind. Um in hoch gesicherte Netzwerke von Unternehmen und Regierungen einzudringen, sind andere Methoden notwendig. G Data hat die neue Malware ComRAT entdeckt, analysiert und Ähnlichkeiten festgestellt.

Nachfolger von Agent.BTZ und Uroburos

Der Angriff der Schadware ComRAT erfolgt über sogenanntes COM-Hijacking. Dabei wird eine Entwickler-Schnittstelle gekapert, wo sich der Angreifer festsetzt, lauscht und Daten ein- sowie ausschleust. Dieses Fernsteuerungstool (Remote Administration Tool, RAT) findet sich dann auch im Namen ComRAT wieder.

Der Schadcode hat den gleichen Ursprung wie die Schadsoftware Agent.BTZ, die 2008 bei einem Angriff auf Regierungsserver der USA zum Einsatz kam. G Data hat auch Ähnlichkeiten zum Spionageprogramm Uroburos festgestellt, das unter anderem das belgische Außenministerium befallen hatte. Uroburos, auch bekannt als Snake und Turla, soll russische Wurzeln haben.

Gefahr für die großen Netze von Firmen, Behörden und Forschungseinrichtungen

Agent.BTZ nutzte laut G Data bereits denselben XOR-Schlüssel und Dateinamen für die Installations-Log-Dateien wie Uroburos. ComRAT zeigt in der Version 3.25 das gleiche Verhalten. Außerdem teilen die Angreifer ebenfalls eine C&C Domain. In der Version 3.26 vom ComRAT wurde auf eine andere Methode umgestellt, eventuell um die Herkunft zu verschleiern.

"ComRAT ist die neueste Generation der bekannten Spionageprogramme Uroburos und Agent.BTZ. Ähnlich wie seine Vorgänger, ist ComRAT darauf ausgelegt in großen Netzen von Firmen, Behörden, Organisationen und Forschungseinrichtungen zu agieren und attackieren", so Ralf Benzmüller, Leiter der G DATA SecurityLabs.

Und weiter: "Wir vermuten dahinter wieder die gleiche Gruppe, da der Schadcode viele Ähnlichkeiten aufweist. Die aktuelle Software ist noch komplexer und noch aufwendiger. Das zeugt von einer kostenintensiven Entwicklung."

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang