[datensicherheit.de, 30.12.2024] Die „Operation DreamJob“ der cyber-kriminellen „Lazarus“-Gruppe entwickelt sich nach Erkenntnissen des „Global Research and Analysis Team“ (GReAT) bei Kaspersky mit neuen ausgefeilten Taktiken weiter: Zu den jüngsten Opfern gehören demnach Mitarbeiter eines mit der Nuklearindustrie in Verbindung stehenden Unternehmens. „Sie wurden über drei kompromittierte Archivdateien infiziert, die den Anschein erwecken, als seien sie Tests zur Bewertung der Fähigkeiten von IT-Fachleuten.“ Diese laufende Kampagne nutze eine Reihe fortschrittlicher Schadprogramme, darunter eine neu entdeckte modulare sogenannte Backdoor, „CookiePlus“, welche als Open-Source-Plugin getarnt gewesen sei.

Aktueller Kaspersky-Bericht bietet neue Einblicke in jüngste Phase der „Lazarus“-Aktivitäten und enthüllt eine -Kampagne

GReAT von Kaspersky habe eine neue Kampagne entdeckte, welche mit der berüchtigten „Operation DreamJob“ in Verbindung stehe (auch bekannt als „DeathNote“) – ein Cluster wiederum, welcher mit der berüchtigten „Lazarus“-Gruppe in Verbindung stehe. Im Laufe der Jahre habe sich diese Kampagne erheblich weiterentwickelt und im Jahr 2019 mit Angriffen auf weltweite Unternehmen begonnen, „die mit ,Krypto-Währungen’ zu tun haben“.

Im Laufe des Jahres 2024 habe sich diese ausgeweitet und ziele nun auf IT- und Verteidigungsunternehmen in Europa, Lateinamerika, Südkorea und Afrika ab. Der aktuelle Kaspersky-Bericht, „Lazarus group evolves its infection chain with old and new malware“, biete neue Einblicke in die jüngste Phase ihrer Aktivitäten und enthülle eine Kampagne, welche auf Mitarbeiter desselben Unternehmens im Nuklearbereich in Brasilien sowie auf Mitarbeiter einer nicht identifizierten Branche in Vietnam abgezielt habe.

Im Laufe eines Monats mindestens zwei Mitarbeiter desselben Unternehmens von „Lazarus“ angegriffen

„Im Laufe eines Monats wurden mindestens zwei Mitarbeiter desselben Unternehmens von ,Lazarus’ angegriffen. Sie erhielten mehrere Archivdateien, die als Qualifikationsbeurteilungen für IT-Positionen bei bekannten Luftfahrt- und Verteidigungsunternehmen getarnt waren.“ „Lazarus“ habe das erste Archiv zunächst an die Hosts A und B innerhalb desselben Unternehmens übermittelt und nach einem Monat versucht, aggressivere Angriffe auf das erste Ziel durchzuführen. „Wahrscheinlich nutzten sie Job-Suchplattformen wie ,LinkedIn’, um die ersten Anweisungen zu übermitteln und Zugang zu den Zielpersonen zu erhalten.“

„Lazarus“ habe seine Verbreitungsmethoden weiterentwickelt und die Persistenz durch eine komplexe Infektionskette verbessert, an der verschiedene Arten von Malware beteiligt seien, „z.B. ein ,Downloader’, ein ,Loader’ und eine ,Backdoor’“. Sie starteten laut Kaspersky einen mehrstufigen Angriff, „bei dem sie trojanisierte VNC-Software, einen Remote-Desktop-Viewer für ,Windows’ und ein weiteres legitimes VNC-Tool zur Verbreitung von Malware verwendeten“.

„Lazarus“ hat unsichtbare plugin-basierte Hintertür eingesetzt: „CookiePlus“

„In der ersten Phase wurde eine trojanisierte ,AmazonVNC.exe’ entschlüsselt und ein ,Downloader’ namens ,Ranid Downloader’ ausgeführt, um interne Ressourcen der VNC-Datei zu extrahieren.“ Ein zweites Archiv habe eine bösartige Datei „vnclang.dll“ enthalten, welche die „MISTPEN“-Malware geladen habe, die dann wiederum weitere Nutzdaten abgerufen habe, darunter „RollMid“ und eine neue Variante von „LPEClient“.

Außerdem hätten sie eine unsichtbare plugin-basierte Hintertür eingesetzt, welche von den „GReAT“-Experten als „CookiePlus“ bezeichnet worden sei. „Sie war als ,ComparePlus’ getarnt, ein Open-Source-Plugin für ,Notepad++‘. Sobald die Malware eingerichtet ist, sammelt sie Systemdaten, einschließlich des Computernamens, der Prozess-ID und der Dateipfade, und lässt ihr Hauptmodul für eine bestimmte Zeit ,schlafen’.“ Außerdem passe sie ihren Ausführungszeitplan an, indem sie eine Konfigurationsdatei ändere.

Neue „Lazaruzs“-Malware kann Systemprozesse manipulieren

„Es bestehen erhebliche Risiken, einschließlich Datendiebstahl, da ,Operation DreamJob’ sensible Systeminformationen sammelt, die für Identitätsdiebstahl oder Spionage verwendet werden könnten“, kommentiert Sojun Ryu, GReAT-Sicherheitsexperte bei Kaspersky.. Die Fähigkeit dieser Malware, ihre Aktionen zu verzögern, ermögliche es ihr, sich der Entdeckung im Moment des Eindringens zu entziehen und länger auf dem System zu verbleiben.

„Indem sie bestimmte Ausführungszeiten festlegt, kann sie in Intervallen operieren, die möglicherweise nicht bemerkt werden.“ Darüber hinaus könne diese Malware Systemprozesse manipulieren, was ihre Entdeckung erschwere und möglicherweise zu weiteren Schäden oder zur Ausnutzung des Systems führe.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Vasily Berdnikov & Sojun Ryu, 19.12.2024
Lazarus group evolves its infection chain with old and new malware

SECURELIST by Kaspersky, Seongsu Park, 12.04.2023
Following the Lazarus group by tracking DeathNote campaign

github.com
pnedev / comparePlus

datensicherheit.de, 23.10.2024
Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome / Nach Kaspersky-Erkenntnissen konnte der Bedrohungsakteur eine aufwändige und glaubwürdige Fälschung eines „NFT Games“ zur Ausnutzung der Schwachstelle erstellen

datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert

[datensicherheit.de, 23.10.2024] Mittels aufwändiger Fälschung eines Online-Spiels habe „Lazarus“ sogenannte Krypto-Währungen stehlen können – das gefälschte Spiel sei von dieser cyber-kriminellen Gruppe über Soziale Medien stark beworben worben und habe eine Zero-Day-Schwachstelle in „Google Chrome“ ausgenutzt, um entsprechende Spyware zu installieren und an die „Wallet“-Anmeldedaten zu gelangen. Das „Global Research and Analysis Team“ von Kaspersky (GReAT) hat nach eigenen Angaben seine Erkenntnisse hierzu auf dem „Kaspersky Security Analysis Summit“ (SAS) 2024 vorgestellt. Kaspersky habe diese Schwachstelle an Google gemeldet, woraufhin diese geschlossen worden sei.

Telemetriedaten des „Kaspersky Security Network“ deckten Angriff mit Malware „Manuscript“ auf

Die GReAT-Experten identifizierten demnach im Mai 2024 bei der Analyse der Telemetriedaten des „Kaspersky Security Network“ (KSN) einen Angriff mit der Malware „Manuscript“, welche seit 2013 vom Bedrohungsakteur „Lazarus“ verwendet werde. „GReAT konnte seitdem mehr als 50 einzelne solcher Kampagnen in verschiedenen Branchen dokumentieren.“ Die nun aufgedeckte Kampagne verwende Social-Engineering-Techniken und sogenannte Generative KI, um Besitzer von „Krypto-Währungen“ anzugreifen.

„Lazarus“ sei für die Ausnutzung von Zero-Day-Exploits bekannt. In der aktuellen Kampagne habe dieser Bedrohungsakteur zwei Schwachstellen ausgenutzt – darunter auch die bislang unbekannte Schwachstelle „Type-Confusion“ (CVE-2024-4947) in „V8“ (also der mit Open-Source-Technologie programmierten „JavaScript“- und „WebAssembly“-Engine von „Google Chrome“). Dadurch hätten die Angreifer einen beliebigen Code ausführen, Sicherheitsfunktionen umgehen und verschiedene schädliche Aktivitäten durchführen können. „Mittels der zweiten Schwachstelle umging ,Lazarus’ den schützenden Sandbox-Mechanismus von ,V8‘.“

Kaspersky-Experten gehen davon aus, dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen

„Für ihre Kampagne erstellten die Angreifer eine sorgfältig gestaltete, aber gefälschte Website eines auf ,Non-Fungible Tokens’ (NFT) basierenden Spiels, bei dem Gamer in einen weltweiten Wettbewerb mit ihren Panzern antreten und Geld verdienen können (,Play to Earn’).“

Um diesem Spiel eine möglichst hohe Glaubwürdigkeit und der Kampagne Effizienz zu verleihen, habe es „Lazarus“ über Social-Media-Accounts auf „X“ (ehemals „Twitter“) und „LinkedIn“ monatelang beworben, auch mit Hilfe KI-generierter Bilder. Da die Gruppe bereits in der Vergangenheit ihre Operationen mit „Generativer KI“ angereichert habe, gehen Kaspersky-Experten davon aus, „dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen“.

Folgen hätten laut Kaspersky noch viel weitreichender ausfallen und Nutzer sowie Unternehmen weltweit betreffen können

Als Prototyp für das gefälschte Spiel habe den Angreifern ein legitimes „NFT-Game“ gedient: „Das gefälschte Spiel unterschied sich vom legitimen nur in der Platzierung des Logos und der visuellen Qualität. Das Design des Fake-Spiels war dem Original daher sehr ähnlich. Um die Illusion möglichst perfekt zu halten, wurde das gefälschte Game mit dem gestohlenen Original-Quellcode entwickelt, Logos sowie Referenzen gegenüber dem Original jedoch abgeändert.“ Aus den „Wallets“ der Spiele-Entwickler sei nach Beginn der „Lazarus“-Kampagne „Krypto-Währung“ im Wert von 20.000 US-Dollar verschwunden. Zudem seien „Krypto-Influencer“ für diese Kampagne instrumentalisiert worden. Die „Lazarus“-Gruppe habe deren Präsenz in den Sozialen Medien zur Verbreitung ihres gefälschten Spiels ausgenutzt; auch deren „Krypto-Wallets“ seien attackiert worden.

„Es ist nicht neu, dass Bedrohungsakteure nach finanziellen Gewinnen streben, doch diese Kampagne war einzigartig“, berichtet Boris Larin, „Principal Security Expert Global Research and Analysis Team“ bei Kaspersky. Er führt weiter aus: „Dass die Angreifer ein voll funktionsfähiges Spiel erstellen, um ein ,Zero-Day’ in ,Google Chrome’ auszunutzen und Zielsysteme zu infizieren, übersteigt die bislang bekannte Taktik.“ Akteure wie „Lazarus“ machten so selbst scheinbar harmlose Aktionen – wie den Klick auf einen Link in Sozialen Netzwerken oder einer E-Mail – zu einem Risiko, das bis zur vollständigen Kompromittierung des PCs oder eines ganzen Unternehmensnetzwerks reichen könne. Dass diese Kampagne mit beträchtlichem Aufwand betrieben worden sei, deute auf ehrgeizige Pläne der Angreifer hin. „Die tatsächlichen Folgen hätten noch viel weitreichender ausfallen können und Nutzer sowie Unternehmen weltweit betreffen können.“

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 23.10.2024
The Crypto Game of Lazarus APT: Investors vs. Zero-days

KASPERSKY SECURITY NETWORK (KSN)
Ein globales, auf Data Science basierendes Netzwerk zum Austausch von Threat Intelligence

datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert

datensicherheit.de, 26.10.2021
Hacker-Gruppe Lazarus attackiert Verteidigungsindustrie / Zudem entwickelt Lazarus Fähigkeiten für Supply-Chain-Angriffe

[datensicherheit.de, 26.01.2023] „Nach mehreren Berichten unter anderem bei ,Bleeping Computer’ machte das FBI bekannt, dass hinter dem Cyber-Angriff auf die Krypto-Bridge ,Horizon’ des Unternehmens Harmony im Juni 2022 die Gruppe ,APT38‘ steckt“, führt Kevin Bocek, „VP Security Strategy & Threat Intelligence“ bei Venafi, in seiner aktuellen Stellungnahme aus. Damals seien „Alt-Coins im Wert von 100 Millionen US-Dollar entwendet“ worden.

Foto: Venafi

Kevin Bocek: Keine Überraschung, dass der Angriff auf Harmony „Lazarus“ zugeschrieben wird…

Lazarus-Gruppe dafür bekannt, Krypto-Währungen zu stehlen

Die „Lazarus“-Gruppe bzw. „APT38“ sei dafür bekannt, sogenannte Krypto-Währungen zu stehlen – indem Maschinenidentitäten ausgenutzt würden. Bocek kommentiert: „Daher ist es keine Überraschung, dass der Angriff auf Harmony diesem Unternehmen zugeschrieben wird. Bei der Offenlegung der Sicherheitsverletzung lieferte Harmony Beweise dafür, dass seine privaten Schlüssel – eine Kernkomponente der Maschinenidentität – kompromittiert wurden, was ,Lazarus, die Tür öffnete und es der Gruppe ermöglichte, Daten zu entschlüsseln und Gelder abzuschöpfen.“ Dies zeige, welchen Einfluss Maschinenidentitäten hätten – „wenn sie in die falschen Hände geraten“.

Die Untersuchungen von Venafi hätten auch gezeigt, dass Angriffe von nordkoreanischen Bedrohungsgruppen – wie „Lazarus“ – oft finanzieller Natur seien. Cyber-kriminelle Aktivitäten seien „zu einem wesentlichen Bestandteil der Finanzierung des nordkoreanischen Staates geworden und ermöglichen, internationale Sanktionen zu umgehen und seine Waffenprogramme zu finanzieren“. Nordkoreanische APT-Gruppen hätten zahllose Cyber-Angriffe in über 30 Ländern durchgeführt, wobei das Volumen der Aktivitäten seit 2017 Berichten zufolge um 300 Prozent gestiegen sei.

APT-Gruppen wie Lazarus können eigene Schadsoftware als legitime Software eines echten Entwicklers ausgeben

Bocek berichtet: „Die Angriffskampagnen richteten sich gegen verschiedene Sektoren, darunter Energie, Finanzen, Regierung, Industrie, Technologie und Telekommunikation.“ Seit Januar 2020 hätten nordkoreanische Bedrohungsakteure diese Sektoren in Argentinien, Australien, Belgien, Brasilien, Kanada, China, Dänemark, Estland, Deutschland, Hongkong, Ungarn, Indien, Irland, Israel, Italien, Japan, Luxemburg, Malta, den Niederlanden, Neuseeland, Polen, Russland, Saudi-Arabien, Singapur, Slowenien, Südkorea, Spanien, Schweden, der Türkei, Großbritannien, der Ukraine und den Vereinigten Staaten von Amerika angegriffen.

„Die Verwendung von Code-Signing-Maschinenidentitäten macht es besonders schwer, die Attacken der APT abzuwehren.“ Durch den Diebstahl von Code-Signatur-Maschinenidentitäten seien nordkoreanische Cyber-Kriminelle in der Lage, ihre eigene Schadsoftware als legitime Software eines echten Entwicklers auszugeben.

Ohne bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen haben cyber-kriminelle Akteure wie Lazarus leichtes Spiel

Außerdem könnten sie damit „verheerende Angriffe auf die Lieferkette“ durchführen. „Das Problem ist, dass es derzeit nicht genügend Bewusstsein und Sicherheit für die Bedeutung von Maschinenidentitäten gibt“, warnt Bocek. Dieser Mangel an Aufmerksamkeit ermögliche es nordkoreanischen Cyber-Kriminellen, „einen ernsthaften blinden Fleck in der Software-Lieferkette auszunutzen“. Er betont: „Jedes Unternehmen, dass ein finanziell lohnendes Ziel bietet, wird deshalb auf kurz oder lang angegriffen werden.“

Ohne eine bessere Koordinierung und Zusammenarbeit zwischen Unternehmen und Regierungen, um die Taktiken nordkoreanischer Cyber-Krimineller zu bekämpfen, würden diese Bedrohungen nur noch schlimmer werden – „und andere globale Parias werden ihre eigenen Möglichkeiten erkennen“. Da Gruppen wie „Lazarus“ immer wieder Maschinenidentitäten ausnutzten, sollten Unternehmen eine Kontrollebene für die Verwaltung von Maschinenidentitäten einrichten. Bocek erläutert abschließend: „Dadurch erhalten sie den nötigen Einblick, die Konsistenz und die Belastbarkeit, die sie benötigen, um das Risiko von Sicherheitsverstößen zu reduzieren.“

Weitere Informationen zum Thema:

BLEEPING COMPUTER, Bill Toulas, 24.01.2023
FBI: North Korean hackers stole $100 million in Harmony crypto hack

Venafi, Brooke Crothers, 24.08.2022
Machine Identity Management / North Korea Cyber Threat Group ‘Lazarus’ Targets M1 Mac with Signed Executables

Harmony, Matthew Barrett, 14.06.2022
Harmony’s Horizon Bridge Hack

Venafi, Yana Blachman, 24.06.2021
Machine Identity Management / North Korean Cyberattacks Can Inspire Other Rogue Nations

[datensicherheit.de, 16.11.2022] Der berüchtigte APT-Akteur (Advanced Persistent Threat – fortgeschrittene andauernde Bedrohung) „Lazarus“ weitet laut einer aktuellen Kaspersky-Warnung seine Angriffe aus und hat demnach nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier: Kaspersky-Experten hätten Angriffe mit der sogenannten DTrack-Backdoor auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren können sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.

Bereits zwei Angriffe in Deutschland mit DTrack als Backdoor identifiziert

„Lazarus“ sei mindestens seit dem Jahr 2009 aktiv und werde für Angriffe mittels Cyber-Spionage, -sabotage und Ransomware verantwortlich gemacht. „Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.“

Derzeit richteten sich die Angriffe auch gegen Unternehmen in Europa. „Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen ,DTrack’ als ,Backdoor’ eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.“

Nicht wesentlich veränderte Backdoor DTrack

„DTrack“ sei ursprünglich im Jahr 2019 entdeckt worden und habe sich im Laufe der Zeit nicht wesentlich verändert. Diese „Backdoor“ verstecke sich in einer ausführbaren Datei, „die wie ein legitimes Programm aussieht“. Es gebe mehrere Phasen der Entschlüsselung, bevor die sogenannte Malware-Payload startet. Neu sei eine zusätzliche dritte Verschlüsselungsebene, welche in einigen der neuen Malware-Samples hinzugefügt worden sei.

Kaspersky-Analysen zeigten, „dass ,Lazarus’ diese ,Backdoor’ für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet“. Sie ermögliche es Cyber-Kriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien – bereits als Teil des üblichen „DTrack-Toolsets“ entdeckt – sei ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt könne ein solches „Toolset“ Cyber-Kriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.

DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv

„Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. ,Lazarus’ weitet damit also seine Viktimologie aus.“ Zu den anvisierten Unternehmen gehörten Teile der Kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.

„,DTrack’ wird nach wie vor aktiv von ,Lazarus’ genutzt“, berichtet Jornt van der Wiel, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Er führt aus: „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass ,Lazarus’ ,DTrack’ immer noch einen hohen Stellenwert einräumt. Trotzdem hat ,Lazarus’ seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“

Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack:

• Software zur Überwachung des Datenverkehrs einsetzen (z.B. „Kaspersky Anti Targeted Attack Platform“)!
• Umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden (z.B. „Kaspersky Endpoint Detection and Response“), welche Angriffe frühzeitig erkennt und blockiert!
• Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen!
• Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren (wie z.B. mit „Kaspersky Security Awareness“).

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 15.11.2022
DTrack activity targeting Europe and Latin America

Targeted cyberattacks logbook
LAZARUS

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

SECURELIST by Kaspersky, 23.09.2019
Hello! My name is DTrack

[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.

Lazarus einer der weltweit aktivsten Bedrohungsakteure

Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“

Lazarus-Angriffe auf Lieferkette ausgeweitet

„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.

Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.

Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.

EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“

Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“

Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.

Weitere Informationen zum Thema:

Kaspersky Threat Intelligence Portal
Analyze Files / Browse

SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021

SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle

SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game

SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework

SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich

[datensicherheit.de, 29.07.2021] Forscher von Malwarebytes haben nach eigenen Angaben eine neuartige Cyber-Doppel-Attacke aufgedeckt. Bei ihren Analysen stießen sie demnach auf ein verdächtiges Dokument mit dem Namen „Манифест.docx“ (Manifest.docx), welches „zwei Schadsoftware-Templates herunterlädt und aktiviert“ – eines nutze Makros und das andere sei ein html-Objekt, welches eine Schwachstelle im „Internet Explorer“ ausnutze.

Malwarebytes: Schwachstelle CVE-2021-26411 bereits von der Lazarus-Gruppe adressiert worden

Beide Techniken zielten darauf ab, einen Remote-Access-Trojaner (RAT) einzuschleusen. Die Kombination beider Techniken sei vorher noch nicht beobachtet worden. Die Technik, welche auf die Schwachstelle im „Internet Explorer“ abziele (CVE-2021-26411), sei zuvor allerdings bereits von der „Lazarus“-Gruppe verwendet worden.

Urheber der Attacke laut Malwarebytes bisher nicht identifiziert

Anhand der verwendeten Techniken allein hätten die Forscher nicht feststellen können, wer hinter dieser Attacke steckt. Aber ein „Decoy“-Dokument (Köder), welches den Opfern gezeigt worden sei, liefere einige Hinweise: „Es enthält die Erklärung einer Gruppe, die Andrej Sergejewitsch Portyko nahesteht und gegen Putins Politik auf der Halbinsel Krim gerichtet ist.“ Diese Attacke sei allerdings auch bereits in den Niederlanden und den USA aufgetaucht.

Malwarebytes nennt Folgen einer erfolgreichen Attacke

Der Remote-Access-Trojaner führe dann die folgenden Aktionen aus:

• Informationen über das Opfer sammeln
• Das Antivirenproramm identifizieren, das auf dem Gerät des Opfers läuft
• Shell-Codes ausführen
• Dateien löschen
• Dateien up- und downloaden
• Disk- und Dateisystem-Informationen auslesen

Weitere Informationen zum Thema:

Malwarebytes LABS, Threat Intelligence Team, 29.07.2021
Crimea “manifesto” deploys VBA Rat using double attack vectors

[datensicherheit.de, 23.07.2020] Nach eigenen Angaben haben kaspersky-Forscher eine Reihe von Angriffen aufgedeckt, welche das fortschrittliche Malware-Framework „MATA“ gegen die Betriebssysteme „Windows“, „Linux“ und „MacOS“ einsetzen. Dieses Framework sei bereits seit dem Frühjahr 2018 im Einsatz und werde der berüchtigten nordkoreanischen APT-Gruppe „Lazarus“ zugeschrieben. Unter den Opfern sind demnach auch deutsche Organisationen.

Abbildung: kaspersky

kaspersky-Analyse: Opfer des Lazarus-MATA-Frameworks

MATA-Framework nimmt Betriebssysteme Windows, Linux und MacOS ins Visier

Schädliche, auf mehrere Plattformen abzielende Toolsets seien eher selten, da deren Entwicklung hohe Investitionen erforderten. Sie würden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führe.
In den von kaspersky entdeckten Fällen sei das „MATA“-Framework in der Lage, die drei Betriebssysteme „Windows“, „Linux“ und „MacOS“ ins Visier zu nehmen. Das deutet laut kaspersky darauf hin, „dass die Angreifer es für vielfältige Zwecke einsetzen wollten“. Dieses Framework bestehe aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (zur Verwaltung und Koordinierung der Prozesse infizierter Geräte) sowie Plugins.
Laut kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit „MATA“ gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.

Auch in Deutschland: MATA adressiert Opfer weltweit

Laut Daten der kaspersky-Telemetrie befanden sich die „vom ,MATA‘-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien“. Der Bedrohungsakteur scheine sich nicht auf ein bestimmtes Gebiet zu konzentrieren. „Lazarus“ habe Systeme in verschiedenen Branchen kompromittiert, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.
kaspersky-Forscher konnten „MATA“ demnach mit der „Lazarus“-Gruppe in Verbindung bringen, „die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyber-Spionage und finanziell motivierte Angriffe bekannt ist“. Eine Reihe von Forschern, darunter auch die von kaspersky, hättenen bereits früher über diese Gruppe berichtet, die auf Banken und andere große Finanzunternehmen abgezielt habe, einschließlich des „ATMDtrack“-Angriffs und der „AppleJeus“-Kampagne. Die jüngste Serie von Angriffen deute darauf hin, „dass der Akteur diese Art von Aktivität beibehält“.
„Diese Serie von Angriffen zeigt, dass ,Lazarus‘ bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen“, erläutert Seongsu Park, Sicherheitsforscher bei kaspersky. Darüber hinaus deute die Entwicklung von Malware für „Linux“- und „MacOS“-Systeme häufig darauf hin, „dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die ,Windows‘-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft“. Dieser Ansatz sei typisch für erfahrene APT-Gruppen. Park erwartet, „dass das ,MATA‘-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten“.

kaspersky-Tipps zum Schutz vor MATA-Angriffen (Multi-Plattform-Malware):

• Installation einer dedizierten Sicherheitslösung (wie z.B. „Kaspersky Endpoint Security for Business“ auf allen „Windows“-, „Linux“- und „MacOS“-Endpunkten. Dies ermögliche den Schutz vor bekannten und unbekannten Cyber-Bedrohungen und biete eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
• SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels „Threat Intelligence“ ermöglichen, „damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt“.
• Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise könnten wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.

Weitere Informationen zum Thema:

kaspersky SECURELIST, GreAT, 22.07.2020
MATA: Multi-platform targeted malware framework

kaspersky, 23.09.2019
Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an / Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde

kaspersky daily, 08.01.2020
Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus / Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert

[datensicherheit.de, 23.09.2019] Hauseigene Sicherheitsexperten haben nach Angaben von kaspersky „ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde“. Diese Spyware – „Dtrack“ – stamme wohl von der „Lazarus“-Gruppe und werde zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges „Remote Admin Tool“ (RAT) typisch seien.

Funktionen der Dtrack-Malware weisen sie als Spionagetool aus

Im Jahr 2018 haben demnach kaspersky-Forscher die Malware „ATMDtrack“ entdeckt, welche Geldautomaten in Indien infiltriert und Karteninformationen von Kunden gestohlen habe. Nach weiteren Untersuchungen mit der „Kaspersky Attribution Engine“ und anderen Tools hätten die Forscher mehr als 180 neue Malware-Samples gefunden, deren Codesequenz Ähnlichkeiten mit „ATMDtrack“ aufgewiesen habe.
Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen wiesen die Funktionen der „Dtrack“-Malware sie als Spionagetool aus. Beide hätten Gemeinsamkeiten mit der Kampagne „DarkSeoul“ aus dem Jahr 2013, die „Lazarus“ zugeschrieben werde. Bei „Lazarus“ handelt es sich laut kaspersky um „eine berüchtigte Gruppe, die für mehrere Cyber-Spionage- und Cyber-Sabotageoperationen verantwortlich sein soll“.

Dtrack nutzt Sicherheitsschwächen der Opfer aus

„Dtrack“ könne als Fernwartungstool (RAT) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangten. Cyber-Kriminelle könnten damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.
Von Bedrohungsakteuren mit „Dtrack“-RAT angegriffene Organisationen wiesen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem seien sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung könne die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.

Angriffe zielen auch darauf ab, Geld zu stehlen

Basierend auf den Daten der kaspersky-Telemetrie sei die neuentdeckte Malware aktiv und werde noch für Cyber-Angriffe verwendet. „Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, sagt Konstantin Zykov, Sicherheitsforscher des „Global Research und Analysis“-Teams bei kaspersky. Einerseits konzentriere sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyber-Spionage- oder -sabotageoperationen. Andererseits sei auch festgestellt worden, dass sie Angriffe durchführe, die eindeutig darauf abzielten, Geld zu stehlen. Letzteres sei für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen hätten.
Zykov führt aus: „Die zahlreichen ,Dtrack‘-Samples, die wir gefunden haben, zeigen, dass ,Lazarus‘ eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von ,Dtrack‘-RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen.“ Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten, rät Zykov.

Weitere Informationen zum Thema:

kaspersky SECURELIST, Konstantin Zykov, 23.09.2019
Hello! My name is Dtrack

kaspersky SECURELIST, Juan Andrés Guerrero-Saade u. Costin Raiu (GReAT), 14.02.2016
Operation Blockbuster revealed / A glimpse at the spider web of the Lazarus Group APT campaigns

datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert

[datensicherheit.de, 04.04.2017] KASPERSKY lab hat laut einer eigenen Meldung die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der „Lazarus“-Gruppe vorgestellt. Diese berüchtigte Hackergruppe wird demnach für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten in den Systemen südostasiatischer und europäischer Banken hat KASPERSKY lab demnach tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge diese Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse seien nun „mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten“ vereitelt worden.

Einer der größten und erfolgreichsten Cyber-Überfälle

Im Februar 2016 habe eine damals noch nicht identifizierte Gruppe von Hackern versucht, 851 Millionen US-Dollar zu stehlen. Es sei ihr gelungen, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyber-Überfälle gelte.
Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch KASPERSKY lab – hätten herausgefunden, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe „Lazarus“ stecke: Eine berüchtigte Cyber-Spionage- und -Sabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt sei.

Operative Tätigkeit in Richtung Europa verlagert

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von dieser Gruppe gehört habe, sei „Lazarus“ weiter aktiv gewesen und habe sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vorbereitet.
So habe diese Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür gehabt. Nachdem die Lösungen von KASPERSKY lab und die anschließende Untersuchung den Cyber-Einbruch hätten vereiteln können, habe sich die Gruppe erneut monatelang zurückgezogen, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch dort seien Angriffe durch die Sicherheitslösungen von KASPERSKY lab entdeckt und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie „Reverse Engineering“ der Experten von KASPERSKY lab verhindert worden.

Vorgehensweise der Gruppe

Die Ergebnisse der forensischen Analyse durch KASPERSKY lab deuteten auf folgende Vorgehensweise der Gruppe hin:

• Erstkompromittierung: Zunächst werde in ein einzelnes System innerhalb der Bank eingedrungen – und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines „Wasserlochangriffs“ über ein Exploit, das auf einer legitimen Webseite implantiert werde, auf welche die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugriffen. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne.
• Hintertür: Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.
• Erkundung: Anschließend untersuche die Gruppe über Tage und Wochen das Netzwerk und identifiziere die für sie wertvollen Ressourcen. Das könne ein Backup-Server mit dort abgelegten Authentifizierungsinformationen, ein Mail-Server beziehungsweise der komplette „Domain Controller“ mit den Schlüsseln zu „jeder Tür“ im Unternehmen oder ein Server mit Prozessaufzeichnungen der Finanztransaktionen sein.
• Diebstahl: Schließlich installiere die Gruppe eine spezielle Malware, welche die internen Sicherheitsfunktionen der Finanzsoftware umgehe und ihre betrügerischen Transaktionen im Namen der Bank ausführe.

Vermutlich monatelang unbemerkt operiert

Die von KASPERSKY lab untersuchten Angriffe hätten mehrere Wochen gedauert. Doch vermutlich hätten die Angreifer monatelang unbemerkt operiert.
So sei von den Experten beispielsweise während der Analyse des Vorfalls in Südostasien entdeckt worden, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag der Anforderung der Vorfallreaktion durch das Sicherheitsteam der Bank attackiert hätten – tatsächlich habe dieser Zeitpunkt noch vor dem Vorfall in Bangladesch gelegen.
Gemäß den Aufzeichnungen von KASPERSKY lab seien seit Dezember 2015 Aktivitäten von „Lazarus“-Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten aufgetaucht. Die jüngsten Samples habe KASPERSKY lab im März 2017 entdeckt – die Angreifer seien also weiter aktiv.

Verräterischer Test des Command-and-Control-Servers

Auch wenn die Angreifer so vorsichtig gewesen seien, ihre Spuren zu verwischen, hätten sie bei einem von ihnen im Rahmen einer anderen Kampagne penetrierten Server einen Fehler begangen und dort ein wichtiges Artefakt hinterlassen.
Zur Vorbereitung ihrer Operationen sei dieser als Command-and-Control-Center für die Malware konfiguriert worden. Am Tag der Konfiguration seien die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut worden, was auf einen Test für den Command-and-Control-Server hindeute. Allerdings habe es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea gegeben. Dies könnte laut den Experten bedeuten, dass

• die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden hätten,
• ein anderer Akteur unter „falscher Flagge“ die Operation sorgfältig geplant habe
• oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht habe.

Die „Lazarus“-Gruppe sei sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang hätten sie versucht, ein Set schädlicher Tools aufzubauen, welches von Sicherheitslösungen nicht erkannt werden sollte. Jedoch sei es den Experten von KASPERSKY lab jedes Mal gelungen, auch die neuen Samples aufzuspüren – und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet worden seien.

Abbildung: KASPERSKY lab

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

***„Lazarus“ wird wohl bald zurückkommen***

„Wir sind sicher, dass ,Lazarus‘ bald zurückkommen wird“, warnt Vitaly Kamluk, „Head of Global Research and Analysis Team (GReAT) APAC“ bei KASPERSKY lab. Angriffe wie die der „Lazarus“-Gruppe machten deutlich, wie sich geringfügige Fehler in der Konfiguration zu „massiven Sicherheitsvorfällen ausweiten“ und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten könnten. Man hoffe, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen „Lazarus“ misstrauisch werden, so Kamluk.
An alle Organisationen richtet KASPERSKY lab daher „die dringende Bitte“, ihre Netzwerke sorgfältig auf Anzeichen von „Lazarus“-Malware zu durchsuchen. Sollten diese entdeckt werden, müsse die Infektion im System beseitigt werden. Außerdem seien die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen zum Thema:

KASPERSKY lab auf YouTube, 03.04.2017

Chasing Lazarus: A Hunt for the Infamous Hackers to Prevent Large Bank Robberies

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet

[datensicherheit.de, 28.05.2016] Laut einer aktuellen Mitteilung aus dem Haus Symantec soll die von Cyber-Kriminellen für den Angriff auf das internationale Zahlungsverkehrssystem SWIFT verwendete Schadsoftware auch für weitere Attacken auf Finanzeinrichtungen verwendet worden sein.

Vorfälle auf den Philippinen und in Vietnam

Die Sicherheitsexperten von Symantec haben nach eigenen Angaben Belege dafür gefunden, dass eine Bank auf den Philippinen von den gleichen Hintermännern gehackt worden ist, die auch für den 81 Millionen US-Dollar schweren Cyber-Bankraub in Bangladesch verantwortlich sind. Zudem werde ihnen ein Raubversuch von über eine Million US-Dollar bei der Tien Phong Bank in Vietnam zur Last gelegt.

Parallelen zu weiteren Fällen gefunden

Darüber hinaus habe Symantec Parallelen zu weiteren Fällen gefunden, in denen die verwendete Malware stets ähnlichen Mustern folge. Diese würden mit der „Lazarus“-Gruppe in Verbindung gebracht.

Weitere Informationen zum Thema:

Symantec Official Blog, 26.05.2016
SWIFT attackers’ malware linked to more financial attacks / Bank in Philippines was also targeted by attackers, whose malware shares code with tools used by Lazarus group.