Aktuelles, Branche - geschrieben von dp am Montag, September 23, 2019 22:13 - noch keine Kommentare
Dtrack: Neues Spionage-Tool greift Finanzinstitute und Forschungszentren an
Berüchtigte „Lazarus“-Gruppe meldet sich offenbar zurück
[datensicherheit.de, 23.09.2019] Hauseigene Sicherheitsexperten haben nach Angaben von kaspersky „ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde“. Diese Spyware – „Dtrack“ – stamme wohl von der „Lazarus“-Gruppe und werde zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges „Remote Admin Tool“ (RAT) typisch seien.
Funktionen der Dtrack-Malware weisen sie als Spionagetool aus
Im Jahr 2018 haben demnach kaspersky-Forscher die Malware „ATMDtrack“ entdeckt, welche Geldautomaten in Indien infiltriert und Karteninformationen von Kunden gestohlen habe. Nach weiteren Untersuchungen mit der „Kaspersky Attribution Engine“ und anderen Tools hätten die Forscher mehr als 180 neue Malware-Samples gefunden, deren Codesequenz Ähnlichkeiten mit „ATMDtrack“ aufgewiesen habe.
Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen wiesen die Funktionen der „Dtrack“-Malware sie als Spionagetool aus. Beide hätten Gemeinsamkeiten mit der Kampagne „DarkSeoul“ aus dem Jahr 2013, die „Lazarus“ zugeschrieben werde. Bei „Lazarus“ handelt es sich laut kaspersky um „eine berüchtigte Gruppe, die für mehrere Cyber-Spionage- und Cyber-Sabotageoperationen verantwortlich sein soll“.
Dtrack nutzt Sicherheitsschwächen der Opfer aus
„Dtrack“ könne als Fernwartungstool (RAT) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangten. Cyber-Kriminelle könnten damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.
Von Bedrohungsakteuren mit „Dtrack“-RAT angegriffene Organisationen wiesen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem seien sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung könne die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.
Angriffe zielen auch darauf ab, Geld zu stehlen
Basierend auf den Daten der kaspersky-Telemetrie sei die neuentdeckte Malware aktiv und werde noch für Cyber-Angriffe verwendet. „Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, sagt Konstantin Zykov, Sicherheitsforscher des „Global Research und Analysis“-Teams bei kaspersky. Einerseits konzentriere sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyber-Spionage- oder -sabotageoperationen. Andererseits sei auch festgestellt worden, dass sie Angriffe durchführe, die eindeutig darauf abzielten, Geld zu stehlen. Letzteres sei für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen hätten.
Zykov führt aus: „Die zahlreichen ,Dtrack‘-Samples, die wir gefunden haben, zeigen, dass ,Lazarus‘ eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von ,Dtrack‘-RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen.“ Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten, rät Zykov.
Weitere Informationen zum Thema:
kaspersky SECURELIST, Konstantin Zykov, 23.09.2019
Hello! My name is Dtrack
kaspersky SECURELIST, Juan Andrés Guerrero-Saade u. Costin Raiu (GReAT), 14.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns
datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen
datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert
Aktuelles, Experten - Okt 9, 2024 19:01 - noch keine Kommentare
Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
weitere Beiträge in Experten
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren