Anzeige

Hacker Bitcoin

Aktuelle Kaspersky-Untersuchungen zeigen, dass die hinter Lazarus stehenden Bedrohungsakteure ihre Angriffe mit großer Vorsicht unter Verwendung neuer Taktiken und Verfahren sowie durch die Nutzung des Messengers Telegram als neuen Angriffsvektor weiter fortsetzen.

Bislang sind Opfer in Großbritannien, Polen, Russland und China von der Operation betroffen - darunter auch mehrere Unternehmen aus dem Bereich Kryptowährungen.

Die Lazarus-Gruppe ist einer der aktivsten und produktivsten Advanced Persistent Threat (APT)-Akteure, der eine Reihe von Kampagnen gegen mit Kryptowährungen in Verbindung stehende Organisationen durchgeführt hat. Während der ersten Operation "AppleJeus" im Jahr 2018 hat die Lazarus-Gruppe eine fingierte Firma für Kryptowährungen gegründet, um auf diese Weise manipulierte Anwendungen auszuliefern und ein hohes Maß an Vertrauen bei potenziellen Opfern zu gewinnen. Dafür baute sie auch eine erste Malware für MacOS. Die Anwendung wurde von Nutzern auf den Webseiten Dritter heruntergeladen und die schädliche Payload verschleiert als reguläres Anwendungs-Update ausgeliefert. Die Payload ermöglichte es den Angreifern die volle Kontrolle über das Gerät des Nutzers zu erlangen und Kryptowährung zu stehlen.

Die Kaspersky-Forscher stellten bei der Folgeoperation signifikante Veränderungen in der Angriffstaktik der Gruppe fest: Der neue Angriffsvektor ahmte zwar den des Vorjahres nach, enthielt jedoch einige Optimierungen. Lazarus erstellte dieses Mal Fake-Websites mit Bezug zu Kryptowährungen, die Links zu Telegram-Kanälen gefälschter Unternehmen enthielten und verbreitete die Malware über diesen Messenger-Dienst.

Wie bei der ersten AppleJeus-Operation bestand der Angriff aus zwei Phasen. Die Nutzer luden zunächst eine Anwendung herunter, der zugehörige Downloader rief dann den nächsten Payload von einem Remoteserver ab, so dass der Angreifer das infizierte Gerät mittels einer permanenten Backdoor vollständig kontrollieren konnte. Dieses Mal wurde die schädliche Anwendung jedoch mit größerer Vorsicht ausgeliefert, um der Erkennung durch verhaltensbasierte Erkennungslösungen zu entgehen. Bei Angriffen auf macOS-basierte Ziele wurde ein Authentifizierungsmechanismus zum macOS-Downloader hinzugefügt und das Entwicklungsframework geändert. Des Weiteren kam eine dateilose Infektionstechnik zum Einsatz. Beim Angriff auf Windows-Nutzer vermieden die Angreifer - im Gegensatz zur ersten AppleJeus-Welle - den Einsatz von Fallchill-Malware. Sie erstellten eine neue Variante, die lediglich auf bestimmten Systemen nach Prüfung vorgegebener Werte aktiv wurde.

Kontinuierliche Weiterentwicklung der Malware

Lazarus hat darüber hinaus signifikante Änderungen in der MacOS-Malware vorgenommen und die Anzahl der Versionen erweitert. Im Gegensatz zu der vorherigen Attacke, bei der Lazarus den Open-Source QtBitcoinTrader nutzte, um einen kompletten MacOS-Installer zu bauen, kam im Rahmen der neuen AppleJeus-Angriffswelle ein selbstentwickelter Code zum Einsatz. Dies lässt den Schluss zu, dass die Lazarus-Gruppe weiterhin an Modifikationen der MacOS-Malware arbeitet, so dass die letzte Erkennung durch Kaspersky wahrscheinlich lediglich eine Momentaufnahme darstellt.

"Die neue AppleJeus-Operation zeigt, dass die Lazarus-Gruppe - trotz einer merklichen Stagnation auf den Märkten für Kryptowährungen - weiterhin in Angriffe dieser Art investiert und ihre Methoden verfeinert", betont Seongsu Park, Sicherheitsforscher bei Kaspersky. "Anhaltende Änderungen und Diversifizierungen innerhalb ihrer Malware zeigen, dass es hinsichtlich eines Wachstums solcher Angriffe und der damit verbundenen Bedrohungslage keine Entwarnung gibt."

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea, führt nicht nur Cyberspionage- und Cybersabotage-Angriffe durch, sondern auch finanziell motivierte Attacken. Eine Reihe von Forschern, darunter auch die von Kaspersky, haben bereits früher über diese Gruppe berichtet, deren Angriffe auf Banken und andere große Finanzunternehmen abzielen.

Kaspersky-Tipps für Unternehmen im Kryptowährungssektor

  • Einführung eines umfassenden Security-Awareness-Trainings wie Kaspersky Security Awareness für alle Mitarbeiter, damit diese Phishing-Versuche besser erkennen können.
  • Durchführung einer Sicherheitsbewertung vorhandener Anwendungen - auch um die Zuverlässigkeit des eigenen Unternehmens für potenzielle Investoren zu demonstrieren.
  • Überwachung aufkommender Schwachstellen innerhalb der Ausführungsprotokolle intelligenter Verträge.

Kaspersky-Tipps für kryptowährungsaffine Nutzer

  • Ausschließlich zuverlässige und bewährte Plattformen für Kryptowährungen nutzen.
  • Keine Links anklicken, die zu einer Online-Bank oder einem Web Wallet führen.
  • Eine zuverlässige Sicherheitslösung für einen umfassenden Schutz vor einer Vielzahl von Bedrohungen nutzen, wie beispielsweise Kaspersky Security Cloud

www.kaspersky.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!