Aktuelles, Branche, Studien - geschrieben von dp am Dienstag, Oktober 26, 2021 21:16 - noch keine Kommentare
Hacker-Gruppe Lazarus attackiert Verteidigungsindustrie
Zudem entwickelt Lazarus Fähigkeiten für Supply-Chain-Angriffe
[datensicherheit.de, 26.10.2021] Kaspersky-Forscher haben nach eigenen Angaben bei der Hacker-Gruppe „Lazarus“ – „einem äußerst produktiven ,Advanced Threat-Akteur‘“ – verstärkte Angriffsfähigkeiten auf Lieferketten identifiziert. Des Weiteren setze diese „Advanced-Persistent-Threat“-Gruppe nun das plattformübergreifende „MATA-Framework“ für Cyber-Spionageziele ein, so eine aktuelle Kaspersky-Untersuchung.
Lazarus einer der weltweit aktivsten Bedrohungsakteure
Cyber-Kriminelle entwickelten sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehielten, wendeten andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. „Lazarus“ sei einer der weltweit aktivsten Bedrohungsakteure und mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe stecke hinter groß angelegten Cyber-Spionage- und Ransomware-Kampagnen und sei bei Angriffen auf die Verteidigungsindustrie und den Kryptowährungsmarkt gesichtet worden. „Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.“
Im Juni 2021 hätten Kaspersky-Forscher beobachtet, wie die „Lazarus“-Gruppe die Verteidigungsindustrie mit dem „MATA-Malware-Framework“, welches auf drei Betriebssysteme – „Windows“, „Linux“ und „macOS“ – abziele, angegriffen habe. In der Vergangenheit habe „Lazarus“ MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. „Nun verwendet ,Lazarus‘ MATA jedoch auch für Cyber-Spionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches ,Lazarus‘-Merkmal.“ Es sei nicht das erste Mal, dass die „Lazarus“-Gruppe die Verteidigungsindustrie angreift: „Ihre vorherige ,ThreatNeedle‘-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.“
Lazarus-Angriffe auf Lieferkette ausgeweitet
„Lazarus“ sei auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten „DeathNote“-Cluster identifiziert worden, der aus einer leicht aktualisierten Variante von „BLINDINGCAN“ bestehe. Dabei handele es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet worden sei. „Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte ,Lazarus‘ eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche ,Payload‘ bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für ,Lazarus‘.“ Als Teil der Infektionskette habe „Lazarus“ einen Downloader namens „Racket“ verwendet, welcher mit einem gestohlenen Zertifikat versehen gewesen sei. Hierbei seien anfällige Webserver kompromittiert und mehrere Skripte hochgeladen worden, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: ,Lazarus‘ ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, berichtet Ariel Jungheit, „Senior Security Researcher im Global Research and Analysis Team“ bei Kaspersky. Diese APT-Gruppe sei nicht die Einzige, die Supply-Chain-Angriffe durchführe. Jungheit führt aus: „Im vergangenen Quartal haben wir auch Attacken beobachtet, die von ,SmudgeX‘ und ,BountyGlad‘ durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat.“ Da Bedrohungsakteure in solche Fähigkeiten investierten, müssten wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.
Lazarus-Attacken als Warnung: Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen
Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
„Das ,Kaspersky Threat Intelligence Portal‘ ist ein zentraler Zugangspunkt für die ,Threat Intelligence‘ des Unternehmens und bietet Cyber-Aangriffsdaten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.“ Es sei ein kostenloser Zugang zu den kuratierten Funktionen verfügbar, „mit denen Nutzer Dateien, URLs und IP-Adressen überprüft werden können“.
Cybersecurity-Teams sollten immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein
Z.B. mithilfe der von GReAT-Experten entwickelten Kaspersky-Online-Schulungen.
EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen
Z.B. „Kaspersky Endpoint Detection and Response“
Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt implementiert werden
Etwa „Kaspersky Anti Targeted Attack Platform“
Schulungen der Belegschaft zum Umgang mit Cyber-Bedrohungen
„Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyber-Bedrohungen erlernt“ – zum Beispiel mit der „Kaspersky Automated Security Awareness Platform“.
Weitere Informationen zum Thema:
Kaspersky Threat Intelligence Portal
Analyze Files / Browse
SECURELIST by Kaspersky, 26.10.2021
APT trends report Q3 2021
SECURELIST by Kaspersky, 25.02.2021
Lazarus targets defense industry with ThreatNeedle
SECURELIST by Kaspersky, 28.07.2020
Lazarus on the hunt for big game
SECURELIST by Kaspersky, 22.07.2020
MATA: Multi-platform targeted malware framework
SECURELIST by Kaspersky, 23.08.2018
Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware
datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework
datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet / Für zahlreiche verheerende Angriffe verantwortlich
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren