Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an

Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert

[datensicherheit.de, 16.11.2022] Der berüchtigte APT-Akteur (Advanced Persistent Threat – fortgeschrittene andauernde Bedrohung) „Lazarus“ weitet laut einer aktuellen Kaspersky-Warnung seine Angriffe aus und hat demnach nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier: Kaspersky-Experten hätten Angriffe mit der sogenannten DTrack-Backdoor auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren können sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.

Bereits zwei Angriffe in Deutschland mit DTrack als Backdoor identifiziert

„Lazarus“ sei mindestens seit dem Jahr 2009 aktiv und werde für Angriffe mittels Cyber-Spionage, -sabotage und Ransomware verantwortlich gemacht. „Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.“

Derzeit richteten sich die Angriffe auch gegen Unternehmen in Europa. „Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen ,DTrack’ als ,Backdoor’ eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.“

Nicht wesentlich veränderte Backdoor DTrack

„DTrack“ sei ursprünglich im Jahr 2019 entdeckt worden und habe sich im Laufe der Zeit nicht wesentlich verändert. Diese „Backdoor“ verstecke sich in einer ausführbaren Datei, „die wie ein legitimes Programm aussieht“. Es gebe mehrere Phasen der Entschlüsselung, bevor die sogenannte Malware-Payload startet. Neu sei eine zusätzliche dritte Verschlüsselungsebene, welche in einigen der neuen Malware-Samples hinzugefügt worden sei.

Kaspersky-Analysen zeigten, „dass ,Lazarus’ diese ,Backdoor’ für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet“. Sie ermögliche es Cyber-Kriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien – bereits als Teil des üblichen „DTrack-Toolsets“ entdeckt – sei ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt könne ein solches „Toolset“ Cyber-Kriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.

DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv

„Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. ,Lazarus’ weitet damit also seine Viktimologie aus.“ Zu den anvisierten Unternehmen gehörten Teile der Kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.

„,DTrack’ wird nach wie vor aktiv von ,Lazarus’ genutzt“, berichtet Jornt van der Wiel, Sicherheitsexperte im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Er führt aus: „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass ,Lazarus’ ,DTrack’ immer noch einen hohen Stellenwert einräumt. Trotzdem hat ,Lazarus’ seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“

Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack:

• Software zur Überwachung des Datenverkehrs einsetzen (z.B. „Kaspersky Anti Targeted Attack Platform“)!
• Umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden (z.B. „Kaspersky Endpoint Detection and Response“), welche Angriffe frühzeitig erkennt und blockiert!
• Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen!
• Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren (wie z.B. mit „Kaspersky Security Awareness“).

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 15.11.2022
DTrack activity targeting Europe and Latin America

Targeted cyberattacks logbook
LAZARUS

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

SECURELIST by Kaspersky, 23.09.2019
Hello! My name is DTrack