Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken

Lazarus-Gruppe erweitert Funktionen seiner Crypto-Währungs-Malware

09. Januar 2020, 12:31 Uhr   |  Von Dr. Jörg Schröper.

Lazarus-Gruppe erweitert Funktionen seiner Crypto-Währungs-Malware

Aktuelle Kaspersky-Untersuchungen zeigen nach Angaben der Sicherheitsexperten, dass die hinter der Lazarus-Gruppe stehenden Bedrohungsakteure ihre Angriffe mit großer Vorsicht unter Verwendung neuer Taktiken und Verfahren sowie durch die Nutzung des Messengers Telegram als neuen Angriffsvektor weiter fortsetzen. Bislang seien Opfer in Großbritannien, Polen, Russland und China von der Operation betroffen - darunter auch mehrere Unternehmen aus dem Bereich Crypto-Währungen.

Die Lazarus-Gruppe ist laut Kaspersky einer der aktivsten und produktivsten Advanced-Persistent-Threat-Akteure (APT), die eine Reihe von Kampagnen gegen mit Crypto-Währungen in Verbindung stehende Organisationen durchgeführt hat. Während der ersten Operation "AppleJeus" im Jahr 2018 hat die Lazarus-Gruppe eine fingierte Firma für Crypto-Währungen gegründet, um auf diese Weise manipulierte Anwendungen auszuliefern und ein hohes Maß an Vertrauen bei potenziellen Opfern zu gewinnen. Dazu baute sie auch eine erste Malware für MacOS. Die Anwendung wurde von Nutzern auf den Webseiten Dritter heruntergeladen und die schädliche Payload verschleiert als reguläres Anwendungs-Update ausgeliefert. Die Payload ermöglichte es den Angreifern, die volle Kontrolle über das Gerät des Nutzers zu erlangen und Crypto-Währung zu stehlen.

Die Kaspersky-Forscher stellten bei der Folgeoperation signifikante Veränderungen in der Angriffstaktik der Gruppe fest: Der neue Angriffsvektor ahmte zwar den des Vorjahres nach, enthielt jedoch einige Optimierungen. Lazarus erstellte dieses Mal Fake-Websites mit Bezug zu Crypto-Währungen, die Links zu Telegram-Kanälen gefälschter Unternehmen enthielten und verbreitete die Malware über diesen Messenger-Dienst.

Wie bei der ersten Apple-Jeus-Operation bestand der Angriff aus zwei Phasen. Die Nutzer luden zunächst eine Anwendung herunter, der zugehörige Downloader rief dann die nächste Payload von einem Remote-Server ab, sodass der Angreifer das infizierte Gerät mittels einer permanenten Backdoor vollständig kontrollieren konnte. Dieses Mal wurde die schädliche Anwendung jedoch mit größerer Vorsicht ausgeliefert, um der Erkennung durch verhaltensbasierende Erkennungslösungen zu entgehen. Bei Angriffen auf macOS-Ziele kam ein Authentifizierungsmechanismus zum macOS-Downloader hinzu, und man änderte das Entwicklungs-Framework. Des Weiteren kam eine dateilose Infektionstechnik zum Einsatz. Beim Angriff auf Windows-Nutzer vermieden die Angreifer - im Gegensatz zur ersten Apple-Jeus-Welle - den Einsatz von Fallchill-Malware. Sie erstellten eine neue Variante, die lediglich auf bestimmten Systemen nach Prüfung vorgegebener Werte aktiv wurde.

Lazarus hat darüber hinaus signifikante Änderungen in der MacOS-Malware vorgenommen und die Anzahl der Versionen erweitert. Im Gegensatz zu der vorherigen Attacke, bei der Lazarus den Open-Source-QtBitcoin-Trader nutzte, um einen kompletten MacOS-Installer zu bauen, kam im Rahmen der neuen Apple-Jeus-Angriffswelle ein selbstentwickelter Code zum Einsatz. Dies lässt laut Kaspersky den Schluss zu, dass die Lazarus-Gruppe weiterhin an Modifikationen der MacOS-Malware arbeitet, sodass die letzte Erkennung wahrscheinlich lediglich eine Momentaufnahme darstellt.

"Die neue Apple-Jeus-Operation zeigt, dass die Lazarus-Gruppe trotz einer merklichen Stagnation auf den Märkten für Crypto-Währungen weiterhin in Angriffe dieser Art investiert und ihre Methoden verfeinert", betont Seongsu Park, Sicherheitsforscher bei Kaspersky. "Anhaltende Änderungen und Diversifizierungen innerhalb ihrer Malware zeigen, dass es hinsichtlich eines Wachstums solcher Angriffe und der damit verbundenen Bedrohungslage keine Entwarnung gibt."

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea, führt nicht nur Cyberspionage- und Cybersabotageangriffe durch, sondern auch finanziell motivierte Attacken. Eine Reihe von Forschern, darunter auch die von Kaspersky, haben bereits früher über diese Gruppe berichtet, deren Angriffe auf Banken und andere große Finanzunternehmen abzielen.

Weitere Informationen stehen unter www.kaspersky.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Kaspersky Lab schließt Lücken in IIoT-Plattform von Moxa
Kaspersky Lab warnt vor digitalem Doppelgänger
Mehr Ransomware-Angriffe auf NAS-Systeme

Verwandte Artikel

APT

Kaspersky

Kaspersky Lab