[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.

Lazarus einer der weltweit aktivsten Bedrohungsakteure

Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“

Lazarus-Angriffe auf Lieferkette ausgeweitet

„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.

Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen

Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.

Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.

EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“

Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“

Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.

Weitere Informationen zum Thema:

Kaspersky Threat Intelligence Portal
Analyze Files / Browse

SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021

SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle

SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game

SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework

SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich

[datensicherheit.de, 23.07.2020] Nach eigenen Angaben haben kaspersky-Forscher eine Reihe von Angriffen aufgedeckt, welche das fortschrittliche Malware-Framework „MATA“ gegen die Betriebssysteme „Windows“, „Linux“ und „MacOS“ einsetzen. Dieses Framework sei bereits seit dem Frühjahr 2018 im Einsatz und werde der berüchtigten nordkoreanischen APT-Gruppe „Lazarus“ zugeschrieben. Unter den Opfern sind demnach auch deutsche Organisationen.

Abbildung: kaspersky

kaspersky-Analyse: Opfer des Lazarus-MATA-Frameworks

MATA-Framework nimmt Betriebssysteme Windows, Linux und MacOS ins Visier

Schädliche, auf mehrere Plattformen abzielende Toolsets seien eher selten, da deren Entwicklung hohe Investitionen erforderten. Sie würden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führe.
In den von kaspersky entdeckten Fällen sei das „MATA“-Framework in der Lage, die drei Betriebssysteme „Windows“, „Linux“ und „MacOS“ ins Visier zu nehmen. Das deutet laut kaspersky darauf hin, „dass die Angreifer es für vielfältige Zwecke einsetzen wollten“. Dieses Framework bestehe aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (zur Verwaltung und Koordinierung der Prozesse infizierter Geräte) sowie Plugins.
Laut kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit „MATA“ gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.

Auch in Deutschland: MATA adressiert Opfer weltweit

Laut Daten der kaspersky-Telemetrie befanden sich die „vom ,MATA‘-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien“. Der Bedrohungsakteur scheine sich nicht auf ein bestimmtes Gebiet zu konzentrieren. „Lazarus“ habe Systeme in verschiedenen Branchen kompromittiert, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.
kaspersky-Forscher konnten „MATA“ demnach mit der „Lazarus“-Gruppe in Verbindung bringen, „die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyber-Spionage und finanziell motivierte Angriffe bekannt ist“. Eine Reihe von Forschern, darunter auch die von kaspersky, hättenen bereits früher über diese Gruppe berichtet, die auf Banken und andere große Finanzunternehmen abgezielt habe, einschließlich des „ATMDtrack“-Angriffs und der „AppleJeus“-Kampagne. Die jüngste Serie von Angriffen deute darauf hin, „dass der Akteur diese Art von Aktivität beibehält“.
„Diese Serie von Angriffen zeigt, dass ,Lazarus‘ bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen“, erläutert Seongsu Park, Sicherheitsforscher bei kaspersky. Darüber hinaus deute die Entwicklung von Malware für „Linux“- und „MacOS“-Systeme häufig darauf hin, „dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die ,Windows‘-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft“. Dieser Ansatz sei typisch für erfahrene APT-Gruppen. Park erwartet, „dass das ,MATA‘-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten“.

kaspersky-Tipps zum Schutz vor MATA-Angriffen (Multi-Plattform-Malware):

• Installation einer dedizierten Sicherheitslösung (wie z.B. „Kaspersky Endpoint Security for Business“ auf allen „Windows“-, „Linux“- und „MacOS“-Endpunkten. Dies ermögliche den Schutz vor bekannten und unbekannten Cyber-Bedrohungen und biete eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
• SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels „Threat Intelligence“ ermöglichen, „damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt“.
• Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise könnten wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.

Weitere Informationen zum Thema:

kaspersky SECURELIST, GreAT, 22.07.2020
MATA: Multi-platform targeted malware framework

kaspersky, 23.09.2019
Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an / Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde

kaspersky daily, 08.01.2020
Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus / Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren

datensicherheit.de, 04.04.2017
Cyber-Banküberfall nach Jagd auf Lazarus-Gruppe verhindert