Aktuelles, Branche - geschrieben von dp am Mittwoch, November 16, 2022 12:06 - noch keine Kommentare
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an
Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert
[datensicherheit.de, 16.11.2022] Der berüchtigte APT-Akteur (Advanced Persistent Threat – fortgeschrittene andauernde Bedrohung) „Lazarus“ weitet laut einer aktuellen Kaspersky-Warnung seine Angriffe aus und hat demnach nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier: Kaspersky-Experten hätten Angriffe mit der sogenannten DTrack-Backdoor auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren können sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.
Bereits zwei Angriffe in Deutschland mit DTrack als Backdoor identifiziert
„Lazarus“ sei mindestens seit dem Jahr 2009 aktiv und werde für Angriffe mittels Cyber-Spionage, -sabotage und Ransomware verantwortlich gemacht. „Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.“
Derzeit richteten sich die Angriffe auch gegen Unternehmen in Europa. „Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen ,DTrack’ als ,Backdoor’ eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.“
Nicht wesentlich veränderte Backdoor DTrack
„DTrack“ sei ursprünglich im Jahr 2019 entdeckt worden und habe sich im Laufe der Zeit nicht wesentlich verändert. Diese „Backdoor“ verstecke sich in einer ausführbaren Datei, „die wie ein legitimes Programm aussieht“. Es gebe mehrere Phasen der Entschlüsselung, bevor die sogenannte Malware-Payload startet. Neu sei eine zusätzliche dritte Verschlüsselungsebene, welche in einigen der neuen Malware-Samples hinzugefügt worden sei.
Kaspersky-Analysen zeigten, „dass ,Lazarus’ diese ,Backdoor’ für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet“. Sie ermögliche es Cyber-Kriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien – bereits als Teil des üblichen „DTrack-Toolsets“ entdeckt – sei ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt könne ein solches „Toolset“ Cyber-Kriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.
DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv
„Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. ,Lazarus’ weitet damit also seine Viktimologie aus.“ Zu den anvisierten Unternehmen gehörten Teile der Kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.
„,DTrack’ wird nach wie vor aktiv von ,Lazarus’ genutzt“, berichtet Jornt van der Wiel, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Er führt aus: „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass ,Lazarus’ ,DTrack’ immer noch einen hohen Stellenwert einräumt. Trotzdem hat ,Lazarus’ seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“
Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack:
- Software zur Überwachung des Datenverkehrs einsetzen (z.B. „Kaspersky Anti Targeted Attack Platform“)!
- Umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden (z.B. „Kaspersky Endpoint Detection and Response“), welche Angriffe frühzeitig erkennt und blockiert!
- Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen!
- Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren (wie z.B. mit „Kaspersky Security Awareness“).
Weitere Informationen zum Thema:
SECURELIST by Kaspersky, 15.11.2022
DTrack activity targeting Europe and Latin America
Targeted cyberattacks logbook
LAZARUS
datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework
SECURELIST by Kaspersky, 23.09.2019
Hello! My name is DTrack
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren