Bitbucket als Malware-Drehscheibe: So nutzen Angreifer AsyncRAT

Bitbucket ist ein beliebter und weit verbreiteter Onlinedienst zur Zusammenarbeit in der Softwareentwicklung. Auch bei Cyberkriminellen findet dieser legitime Service Anklang und wird missbraucht, um Schadsoftware wie AsyncRAT zu hosten und zu verteilen. Aber was macht Bitbucket so attraktiv für Angreifer? Die Plattform geniesst eine hohe Glaubwürdigkeit und die öffentliche Struktur ermöglicht eine einfache Verbreitung bösartiger Inhalte. Eigentlich ist sie aber dafür gedacht, Entwicklerteams die Zusammenarbeit an Programmcode zu erleichtern. 

Ein konkretes Beispiel: In einer kürzlich entdeckten Kampagne nutzten Angreifer ein mehrstufiges Verfahren, um AsyncRAT – einen leistungsstarken Remote-Access-Trojaner – auf fremden PCs zu installieren. Dabei nutzen die Angreifer eine Reihe von Obfuskierungsstechniken, um die eigentliche Payload, die dann über Bitbucket gehostet wurde, vor Sicherheitslösungen zu verbergen.

Warum AsyncRAT eine ernsthafte Bedrohung darstellt

AsyncRAT ist seit 2013 bekannt und hat sich als vielseitiger Remote-Access-Trojaner etabliert. Ursprünglich als legitimes Verwaltungstool konzipiert, bietet es Cyberkriminellen umfassende Kontrollmöglichkeiten über kompromittierte Systeme. Diese reichen von der Fernsteuerung von Desktops über Dateimanagement (Upload, Download, Modifikation) und Keylogging (Tastaturanschläge aufzeichnen) bis zum Zugriff auf Webcam und Mikrofon sowie das Ausführen beliebiger Befehle. Solche Funktionen ermöglichen es Angreifern, nicht nur sensible Daten zu stehlen, sondern auch Systeme dauerhaft zu kompromittieren.

Wie erfolgt der Angriff?
 

In der analysierten Kampagne beginnt der Angriff typischerweise mit einer Phishing-Mail, die eine bösartige Datei wie etwa ein VBS-Skript enthält. Dieses Skript ist stark obfuskiert und verschleiert den eigentlichen PowerShell-Befehl, der zur nächsten Phase des Angriffs überleitet: den Download der AsyncRAT-Payload von einem Bitbucket-Repository. Diese mehrstufige Herangehensweise erschwert die Entdeckung und ermöglicht es den Angreifern, verschiedene Verteidigungsmechanismen zu umgehen.

Was sind die typischen Indikatoren eines Angriffs?
 

IT-Sicherheitsverantwortliche sollten auf folgende typische Indikatoren eines AsyncRAT-Angriffs achten:

1. Phishing-Mails: Oftmals der erste Angriffsvektor. Anhänge und Links sollten genau geprüft werden.

2. Obfuskierte Skripte: Verdächtige VBScript- oder PowerShell-Skripte, die verschlüsselte Befehle enthalten.

3. Ungewöhnliche Netzwerkaktivitäten: Kommunikation mit Bitbucket-Repositories oder anderen verdächtigen URLs.

4. Persistenzmechanismen: Einträge im Registrierungseditor und Verknüpfungen in Startordnern, die darauf abzielen, AsyncRAT dauerhaft zu installieren.

Wie können Unternehmen reagieren?
 

Um diese Bedrohungen wirksam abzuwehren, sollten Unternehmen ihre Sicherheitsstrategie anpassen:

• Erkennung und Reaktion: Moderne Endpoint-Detection-and-Respond-Lösungen können solche Angriffe frühzeitig erkennen und stoppen.
   
• Netzwerksegmentierung: Trennung kritischer Systeme, um eine seitliche Bewegung der Angreifer zu verhindern.
   
• Sicherheitsüberwachung: Regelmässiges Monitoring des Datenverkehrs, um verdächtige Aktivitäten zu identifizieren.
   
• Schulungen und Awareness: Mitarbeitende müssen kontinuierlich über Phishing-Methoden und andere Angriffsszenarien informiert werden.

Fazit: Vorsicht auch bei legitimen Plattformen
 

Die Nutzung legitimer Plattformen wie Bitbucket zur Verbreitung von Schadsoftware zeigt, wie kreativ und raffiniert Cyberkriminelle agieren. IT-Sicherheitsverantwortliche müssen wachsam bleiben und ihre Sicherheitsmassnahmen kontinuierlich anpassen. AsyncRAT ist nur ein Beispiel, wie sich Bedrohungsakteure tarnen, um Malware unentdeckt zu verteilen. Allein deshalb ist es wichtig, genau zu wissen, welche Plattformen etwa im Unternehmenskontext verwendet werden, und welche nicht. Nur so lassen sich Abweichungen klar identifizieren.