Atropose RAT
Atroposia ist ein kommerziell vertriebener Remote-Access-Trojaner (RAT), der in Untergrundforen angeboten wird. Er ermöglicht seinen Nutzern umfassende und unbemerkte Kontrolle über kompromittierte Rechner und bietet ein umfangreiches Werkzeugset zum Datendiebstahl, zur Manipulation des Netzwerkverhaltens und zum Aufspüren weiterer Schwachstellen. Aufgrund seiner weitreichenden Fähigkeiten und seiner Tarnmechanismen muss jede bestätigte Infektion mit Atroposia auf einem Gerät umgehend entfernt werden.
Die Malware-Bedrohung wird potenziellen „Kunden“ in drei Zahlungsstufen angeboten:
Monatsmiete: 200 $
Vierteljährlich: 500 $ (drei Monate)
Halbjährlich: 900 $ (sechs Monate)
Inhaltsverzeichnis
Tarnung, Beharrlichkeit und Befehlskanal
Atroposia ist so konzipiert, dass es unentdeckt bleibt. Es kann Berechtigungen automatisch erweitern (und dabei die Benutzerkontensteuerung umgehen), nutzt verschiedene Persistenztechniken, um Neustarts zu überstehen, und ist darauf ausgelegt, von Antivirenprogrammen nicht erkannt zu werden. Die Kommunikation mit den Command-and-Control-Servern der Betreiber ist verschlüsselt, und ein webbasiertes Kontrollpanel vereinfacht die Ausführung schädlicher Aktionen selbst für durchschnittlich versierte Kriminelle.
Versteckte Fernbedienung und Dateiverwaltung
Ein charakteristisches Merkmal ist eine versteckte Remote-Desktop-Komponente (vermarktet als „HRDP Connect“), die eine unsichtbare Sitzung auf dem Rechner des Opfers öffnet, sodass ein Angreifer aus der Ferne mit dem Desktop interagieren kann, ohne dass dies für den Benutzer erkennbar ist. Ergänzend dazu enthält Atroposia einen Dateimanager, mit dem Angreifer Laufwerke und Ordner durchsuchen, Dateien suchen, herunterladen, löschen oder remote ausführen können.
Massenabholung und diskrete Verpackung
Die RAT enthält einen Grabber, der Dateien anhand ihrer Dateiendung oder Schlüsselwörter sucht und die Treffer in einem passwortgeschützten ZIP-Archiv zusammenfasst. Sie kann Daten vollständig im Arbeitsspeicher zusammenstellen und verpacken oder auf integrierte Systemdienstprogramme zurückgreifen, wodurch Restspuren auf der Festplatte minimiert und die forensische Analyse erschwert werden.
Möglichkeiten zum Diebstahl von Zugangsdaten und Geldbörsen
Das Stealer-Modul von Atroposia sammelt eine Vielzahl sensibler Daten: gespeicherte Browserpasswörter, Zugangsdaten von Geschäftsanwendungen und VPN-Clients, Daten von Messenger-Programmen, Passwortmanager-Daten (sofern verfügbar) und Informationen zu Kryptowährungs-Wallets. Es erfasst außerdem den Inhalt der Zwischenablage (alles, was ein Benutzer kopiert oder ausschneidet), protokolliert und speichert diese Einträge. Es kann sogar den Inhalt der Zwischenablage überschreiben, um kopierte Wallet-Adressen oder Zugangsdaten zu ersetzen – eine Technik, die sich zum Abzweigen von Geldern oder zum Übernehmen von Konten eignet.
Netzwerkmanipulation und DNS-Hijacking
Die Schadsoftware kann DNS-Einstellungen ändern oder Namensauflösungen abfangen, sodass der Browser des Opfers unbemerkt auf vom Angreifer kontrollierte gefälschte Webseiten (z. B. gefälschte Anmeldeseiten) umgeleitet wird. Da der Browser möglicherweise weiterhin die erwartete URL anzeigt, können Opfer dazu verleitet werden, ihre Zugangsdaten einzugeben, während sie glauben, sich auf einer legitimen Webseite zu befinden.
Schwachstellenscans und Eskalationsmöglichkeiten
Atroposia beinhaltet einen Scanner, der den infizierten Host auf fehlende Patches, fehlerhafte Konfigurationen und veraltete Software untersucht. In Unternehmensumgebungen können dadurch wertvolle Sicherheitslücken aufgedeckt werden – beispielsweise ungepatchte VPN-Clients, Sicherheitslücken zur Rechteausweitung oder andere Schwachstellen –, die Angreifer anschließend ausnutzen, um ihren Zugriff im Netzwerk zu erweitern.
Systemtelemetrie- und Fernsteuerungsfunktionen
Neben Datendiebstahl und Fernzugriff auf Desktops erfasst das RAT Systemmetadaten (IP-Adressen, Betriebssystemversion, Geolokalisierung und weitere Umgebungsdetails), kann laufende Prozesse auflisten und verwalten sowie das Herunterfahren und Neustarten aus der Ferne unterstützen. Das Toolkit enthält außerdem zusätzliche, weniger ressourcenintensive Hilfsprogramme, die zusammen eine hohe operative Flexibilität ermöglichen.
Wie Infektionen typischerweise auftreten
Bösartige oder präparierte Dokumente (z. B. infizierte PDFs oder andere Anhänge, die per E-Mail verbreitet werden)
Softwarepiraterie, Drive-by-Exploits, betrügerische Werbung, gefälschte technische Supportangebote, P2P-/Dateitausch, irreführende Downloadseiten, Installationsprogramme von Drittanbietern und ähnliche Kanäle
Warum diese Verbreitungsmethoden erfolgreich sind: Angreifer setzen auf Social Engineering (gefälschte Dokumente, verlockende Downloads oder Aufforderungen zum Ausführen von Dateien) oder auf den Missbrauch von Sicherheitslücken und irreführenden Installationsprogrammen – die meisten Infektionen erfolgen, wenn ein Benutzer dazu verleitet wird, Schadsoftware auszuführen.
Zusammenfassung der Auswirkungen
Atroposia ermöglicht umfassenden Datenabfluss (Dateien, Zugangsdaten, Zwischenablage, Krypto-Wallets), verdeckte Fernsteuerung, Netzwerkumleitung durch DNS-Manipulation und Aufklärung zur weiteren Ausnutzung. Seine schwer zu ortende Architektur (Privilegienerweiterung, Persistenz, Speicherung im Arbeitsspeicher, verschlüsselte C2-Verbindungen und versteckte Remote-Sitzungen) macht es besonders gefährlich für Einzelpersonen und Organisationen gleichermaßen.
Sofortige Reaktion
Wird Atroposia auf einem System vermutet oder nachgewiesen, trennen Sie das Gerät vom Netzwerk, sichern Sie nach Möglichkeit Protokolle zur Analyse und entfernen Sie die Schadsoftware schnellstmöglich. Da Betreiber erbeutete Zugangsdaten und laterale Routen nutzen können, sollten Sie jede Kompromittierung als potenziell weitreichend betrachten und die regelmäßige Änderung von Passwörtern, den Widerruf von Tokens sowie eine umfassendere interne Untersuchung in Erwägung ziehen.
