Hacker-Gruppe Lazarus attackiert Verteidigungsindustrie

Zudem entwickelt Lazarus Fähigkeiten für Supply-Chain-Angriffe

[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.

Lazarus einer der weltweit aktivsten Bedrohungsakteure

Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“

Lazarus-Angriffe auf Lieferkette ausgeweitet

„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.

Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.

Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.

EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“

Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“

Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.

Weitere Informationen zum Thema:

Kaspersky Threat Intelligence Portal
Analyze Files / Browse

SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021

SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle

SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game

SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework

SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich