Anzeige

Hacker Bitcoin

Aktuelle Kaspersky-Untersuchungen zeigen, dass die hinter Lazarus stehenden Bedrohungsakteure ihre Angriffe mit großer Vorsicht unter Verwendung neuer Taktiken und Verfahren sowie durch die Nutzung des Messengers Telegram als neuen Angriffsvektor weiter fortsetzen.

Bislang sind Opfer in Großbritannien, Polen, Russland und China von der Operation betroffen - darunter auch mehrere Unternehmen aus dem Bereich Kryptowährungen.

Die Lazarus-Gruppe ist einer der aktivsten und produktivsten Advanced Persistent Threat (APT)-Akteure, der eine Reihe von Kampagnen gegen mit Kryptowährungen in Verbindung stehende Organisationen durchgeführt hat. Während der ersten Operation "AppleJeus" im Jahr 2018 hat die Lazarus-Gruppe eine fingierte Firma für Kryptowährungen gegründet, um auf diese Weise manipulierte Anwendungen auszuliefern und ein hohes Maß an Vertrauen bei potenziellen Opfern zu gewinnen. Dafür baute sie auch eine erste Malware für MacOS. Die Anwendung wurde von Nutzern auf den Webseiten Dritter heruntergeladen und die schädliche Payload verschleiert als reguläres Anwendungs-Update ausgeliefert. Die Payload ermöglichte es den Angreifern die volle Kontrolle über das Gerät des Nutzers zu erlangen und Kryptowährung zu stehlen.

Die Kaspersky-Forscher stellten bei der Folgeoperation signifikante Veränderungen in der Angriffstaktik der Gruppe fest: Der neue Angriffsvektor ahmte zwar den des Vorjahres nach, enthielt jedoch einige Optimierungen. Lazarus erstellte dieses Mal Fake-Websites mit Bezug zu Kryptowährungen, die Links zu Telegram-Kanälen gefälschter Unternehmen enthielten und verbreitete die Malware über diesen Messenger-Dienst.

Wie bei der ersten AppleJeus-Operation bestand der Angriff aus zwei Phasen. Die Nutzer luden zunächst eine Anwendung herunter, der zugehörige Downloader rief dann den nächsten Payload von einem Remoteserver ab, so dass der Angreifer das infizierte Gerät mittels einer permanenten Backdoor vollständig kontrollieren konnte. Dieses Mal wurde die schädliche Anwendung jedoch mit größerer Vorsicht ausgeliefert, um der Erkennung durch verhaltensbasierte Erkennungslösungen zu entgehen. Bei Angriffen auf macOS-basierte Ziele wurde ein Authentifizierungsmechanismus zum macOS-Downloader hinzugefügt und das Entwicklungsframework geändert. Des Weiteren kam eine dateilose Infektionstechnik zum Einsatz. Beim Angriff auf Windows-Nutzer vermieden die Angreifer - im Gegensatz zur ersten AppleJeus-Welle - den Einsatz von Fallchill-Malware. Sie erstellten eine neue Variante, die lediglich auf bestimmten Systemen nach Prüfung vorgegebener Werte aktiv wurde.

Kontinuierliche Weiterentwicklung der Malware

Lazarus hat darüber hinaus signifikante Änderungen in der MacOS-Malware vorgenommen und die Anzahl der Versionen erweitert. Im Gegensatz zu der vorherigen Attacke, bei der Lazarus den Open-Source QtBitcoinTrader nutzte, um einen kompletten MacOS-Installer zu bauen, kam im Rahmen der neuen AppleJeus-Angriffswelle ein selbstentwickelter Code zum Einsatz. Dies lässt den Schluss zu, dass die Lazarus-Gruppe weiterhin an Modifikationen der MacOS-Malware arbeitet, so dass die letzte Erkennung durch Kaspersky wahrscheinlich lediglich eine Momentaufnahme darstellt.

"Die neue AppleJeus-Operation zeigt, dass die Lazarus-Gruppe - trotz einer merklichen Stagnation auf den Märkten für Kryptowährungen - weiterhin in Angriffe dieser Art investiert und ihre Methoden verfeinert", betont Seongsu Park, Sicherheitsforscher bei Kaspersky. "Anhaltende Änderungen und Diversifizierungen innerhalb ihrer Malware zeigen, dass es hinsichtlich eines Wachstums solcher Angriffe und der damit verbundenen Bedrohungslage keine Entwarnung gibt."

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea, führt nicht nur Cyberspionage- und Cybersabotage-Angriffe durch, sondern auch finanziell motivierte Attacken. Eine Reihe von Forschern, darunter auch die von Kaspersky, haben bereits früher über diese Gruppe berichtet, deren Angriffe auf Banken und andere große Finanzunternehmen abzielen.

Kaspersky-Tipps für Unternehmen im Kryptowährungssektor

  • Einführung eines umfassenden Security-Awareness-Trainings wie Kaspersky Security Awareness für alle Mitarbeiter, damit diese Phishing-Versuche besser erkennen können.
  • Durchführung einer Sicherheitsbewertung vorhandener Anwendungen - auch um die Zuverlässigkeit des eigenen Unternehmens für potenzielle Investoren zu demonstrieren.
  • Überwachung aufkommender Schwachstellen innerhalb der Ausführungsprotokolle intelligenter Verträge.

Kaspersky-Tipps für kryptowährungsaffine Nutzer

  • Ausschließlich zuverlässige und bewährte Plattformen für Kryptowährungen nutzen.
  • Keine Links anklicken, die zu einer Online-Bank oder einem Web Wallet führen.
  • Eine zuverlässige Sicherheitslösung für einen umfassenden Schutz vor einer Vielzahl von Bedrohungen nutzen, wie beispielsweise Kaspersky Security Cloud

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

USB

Hospitality-Gewerbe im Visier eines BadUSB Social Engineering-Angriffs

Der aktuelle Sicherheitsvorfall mit einem USB-Stick gestattet einen Blick daraufzu werfen, wie Unternehmen zu leichtsinnigen Opfern werden könnten. Eine der ältesten Formen des modernen Social Engineerings ist der „Abwurf des mit Malware beladenen USB-Sticks…
Haie und Boot

Watering-Hole-Attacke „Holy Water” identifiziert

Kaspersky-Forscher haben mit ‚Holy Water‘ eine Watering-Hole-Attacke identifiziert, die seit Mai 2019 mehr als zehn Webseiten in Asien, die im Zusammenhang mit Religion, freiwilligen Programmen, Wohltätigkeitsorganisationen und weiteren Bereichen stehen,…
Roboter

Neues TrickBot-Modul "rdpScanDll" entdeckt

Die Bedrohungsanalysten von Bitdefender haben ein neues TrickBot-Modul namens rdpScanDll entdeckt, das für Brute-Force-Angriffe über das Remote Desktop Protocol (RDP) entwickelt wurde. Die Opfer leben überwiegend in den USA und in Hongkong und sind vor allem…
Corona virus

Neuer COVID-19 Phishing-Betrug

KnowBe4 hat eine neue Art von Phishing-Betrug entdeckt. Dabei werden Personen davor gewarnt, dass sie mit einem Freund/Kollegen/Familienmitglied in Kontakt gekommen sind, welches mit dem Coronavirus infiziert ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!