Aktuelles, Branche - geschrieben von dp am Donnerstag, Juli 23, 2020 13:36 - noch keine Kommentare
MATA-Framework: Lazarus auch in Deutschland aktiv
APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework
[datensicherheit.de, 23.07.2020] Nach eigenen Angaben haben kaspersky-Forscher eine Reihe von Angriffen aufgedeckt, welche das fortschrittliche Malware-Framework „MATA“ gegen die Betriebssysteme „Windows“, „Linux“ und „MacOS“ einsetzen. Dieses Framework sei bereits seit dem Frühjahr 2018 im Einsatz und werde der berüchtigten nordkoreanischen APT-Gruppe „Lazarus“ zugeschrieben. Unter den Opfern sind demnach auch deutsche Organisationen.
kaspersky-Analyse: Opfer des Lazarus-MATA-Frameworks
MATA-Framework nimmt Betriebssysteme Windows, Linux und MacOS ins Visier
Schädliche, auf mehrere Plattformen abzielende Toolsets seien eher selten, da deren Entwicklung hohe Investitionen erforderten. Sie würden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führe.
In den von kaspersky entdeckten Fällen sei das „MATA“-Framework in der Lage, die drei Betriebssysteme „Windows“, „Linux“ und „MacOS“ ins Visier zu nehmen. Das deutet laut kaspersky darauf hin, „dass die Angreifer es für vielfältige Zwecke einsetzen wollten“. Dieses Framework bestehe aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (zur Verwaltung und Koordinierung der Prozesse infizierter Geräte) sowie Plugins.
Laut kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit „MATA“ gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.
Auch in Deutschland: MATA adressiert Opfer weltweit
Laut Daten der kaspersky-Telemetrie befanden sich die „vom ,MATA‘-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien“. Der Bedrohungsakteur scheine sich nicht auf ein bestimmtes Gebiet zu konzentrieren. „Lazarus“ habe Systeme in verschiedenen Branchen kompromittiert, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.
kaspersky-Forscher konnten „MATA“ demnach mit der „Lazarus“-Gruppe in Verbindung bringen, „die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyber-Spionage und finanziell motivierte Angriffe bekannt ist“. Eine Reihe von Forschern, darunter auch die von kaspersky, hättenen bereits früher über diese Gruppe berichtet, die auf Banken und andere große Finanzunternehmen abgezielt habe, einschließlich des „ATMDtrack“-Angriffs und der „AppleJeus“-Kampagne. Die jüngste Serie von Angriffen deute darauf hin, „dass der Akteur diese Art von Aktivität beibehält“.
„Diese Serie von Angriffen zeigt, dass ,Lazarus‘ bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen“, erläutert Seongsu Park, Sicherheitsforscher bei kaspersky. Darüber hinaus deute die Entwicklung von Malware für „Linux“- und „MacOS“-Systeme häufig darauf hin, „dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die ,Windows‘-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft“. Dieser Ansatz sei typisch für erfahrene APT-Gruppen. Park erwartet, „dass das ,MATA‘-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten“.
kaspersky-Tipps zum Schutz vor MATA-Angriffen (Multi-Plattform-Malware):
- Installation einer dedizierten Sicherheitslösung (wie z.B. „Kaspersky Endpoint Security for Business“ auf allen „Windows“-, „Linux“- und „MacOS“-Endpunkten. Dies ermögliche den Schutz vor bekannten und unbekannten Cyber-Bedrohungen und biete eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
- SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels „Threat Intelligence“ ermöglichen, „damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt“.
- Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise könnten wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.
Weitere Informationen zum Thema:
kaspersky SECURELIST, GreAT, 22.07.2020
MATA: Multi-platform targeted malware framework
kaspersky daily, 08.01.2020
Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus / Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren
datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren