EtherRAT: Schadsoftware steuert sich über Blockchain-Verträge

Angreifer nutzen AnyDesk und HopToDesk für Zugriffe. EtherRAT setzt auf Ethereum-Blockchain zur Steuerung.

Cybersicherheitsforscher haben zwei getrennte Phishing-Kampagnen identifiziert, die auf AnyDesk und andere Fernwartungssoftware setzen, um unbefugten Zugriff auf Unternehmensnetzwerke zu erlangen. Die Angreifer nutzen ausgefeilte Tarnmethoden – darunter geplante Aufgaben zur Persistenz und sogar Blockchain-Technologie für die Steuerung ihrer Schadsoftware.

Russische Luftfahrt im Visier von „Rare Werewolf“

Eine gezielte Spear-Phishing-Kampagne richtet sich gegen russische Luft- und Raumfahrtorganisationen. Dahinter steckt die Bedrohungsgruppe Rare Werewolf, auch bekannt als „Librarian Ghouls“. Wie ein Bericht des Sicherheitsunternehmens Seqrite vom heutigen Dienstag zeigt, locken die Angreifer ihre Opfer mit gefälschten Rechnungen.

Der Angriff beginnt mit einer E-Mail, die ein passwortgeschütztes RAR-Archiv enthält – oft als Zahlungsaufforderung getarnt. Beim Entpacken installiert sich eine portable Version von AnyDesk, ergänzt um Hilfsprogramme wie Blat (ein SMTP-Tool) und Tray Minimizer. Ein Batch-Skript konfiguriert AnyDesk für den unbeaufsichtigten Zugriff, indem es ein vordefiniertes Passwort setzt.

Um dauerhaft im System zu bleiben, legt der Angreifer eine geplante Aufgabe mit dem irreführenden Namen „Auto apdate“ an. Die AnyDesk-Konfigurationsdaten werden per SMTP über das Blat-Tool abgegriffen. Zur Spurenbeseitigung löschen die Hacker systematisch temporäre Dateien und Installationsartefakte. Forscher identifizierten mehrere genutzte Domains, darunter vniir-avia.space und aviatronika.online.

Anzeige

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Microsoft-Teams-Anrufe als Einfallstor für EtherRAT

Eine zweite, völlig eigenständige Kampagne setzt auf eine perfide Kombination: Phishing-Mails und betrügerische Microsoft-Teams-Anrufe. Die Sicherheitsfirma Unit 42 berichtete am gestrigen Montag über diese Vorgehensweise, die bereits Ende Juni beobachtet wurde.

Der Angriff beginnt mit einer E-Mail, die eine „Mitarbeiterumfrage“ als PDF enthält. Kurz darauf meldet sich ein angeblicher Systemadministrator oder IT-Helpdesk per Teams-Anruf. Das Ziel: Der Mitarbeiter soll die Bildschirmsteuerung freigeben. Sobald dies gelingt, installiert der Angreifer Fernwartungstools wie HopToDesk und AnyDesk.

Diese Programme dienen als Sprungbrett für einen schädlichen MSI-Loader, der von einer externen Domain nachgeladen wird. Der Loader installiert eine Node.js-Laufzeitumgebung, um die Schadsoftware EtherRAT zu starten. Deren Besonderheit: EtherRAT nutzt Ethereum-Smart-Contracts für die Kommando- und Kontrollinfrastruktur (C2). Diese Technik erschwert herkömmliche Abwehrmaßnahmen erheblich, da der Datenverkehr über die Blockchain läuft.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber Security jetzt herunterladen

Unit-42-Forscher entdeckten zudem ein offenes Verzeichnis der Angreifer, das mehrere Versionen der Malware enthielt. Für den automatischen Start bei Systemboot ändert EtherRAT den OneDriveSetup-Registrierungsschlüssel. Microsoft hat mittlerweile reagiert: Neue Sicherheitsmaßnahmen warnen vor Anrufen von externen Mandanten und verschärfen die Lobby-Richtlinien für Bots.

Iran-verbundene Gruppe attackiert israelische Infrastruktur

Ergänzend zu diesen Kampagnen berichten Sicherheitsexperten über die Aktivitäten der Gruppe Cavern Manticore. Die mit dem Iran verbundene Gruppierung zielt auf israelische Regierungs- und IT-Organisationen ab. Auch sie nutzt Fernwartungstools für den Erstzugriff, setzt aber zusätzlich ein modulares .NET-Framework ein, das nur schwer zu erkennen ist.

Nach dem Eindringen über RMM-Tools oder browserbasierte Remotedesktop-Sitzungen installiert die Gruppe oft ein bösartiges Update für die Software SysAid. Ihr individueller Schadcode, getarnt als „uxtheme.dll“, wird von legitimen Programmen geladen. Damit führen die Angreifer Aufklärung, Diebstahl von Zugangsdaten und laterale Bewegung im Netzwerk durch.

Sicherheitsanalysten betonen: Der anhaltende Missbrauch legitimer Fernwartungssoftware wie AnyDesk bleibt eine der größten Herausforderungen für Unternehmenssicherheit. Diese Programme umgehen häufig Standard-Sicherheitsfilter – schließlich werden sie in autorisierten IT-Abteilungen weltweit täglich eingesetzt.