Spionage- und Ransomware-Attacken

Lazarus-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

Kaspersky-Forscher haben eine Reihe von Angriffen aufgedeckt, die das fortschrittliche Malware-Framework ,MATA’ gegen die Betriebssysteme Windows, Linux und MacOS einsetzen. Das Framework ist bereits seit dem Frühjahr 2018 im Einsatz und wird der berüchtigten nordkoreanischen APT-Gruppe Lazarus zugeschrieben. Unter den Opfern sind auch deutsche Organisationen.

Schädliche Toolsets, die auf mehrere Plattformen abzielen, sind eher selten, da deren Entwicklung hohe Investitionen erfordern. Sie werden oft für den langfristigen Einsatz genutzt, was durch zahlreiche, über die Zeit verteilte Angriffe zu einem erhöhten Gewinn für den Bedrohungsakteur führt. In den von Kaspersky entdeckten Fällen war das MATA-Framework in der Lage, die drei Betriebssysteme Windows, Linux und MacOS ins Visier zu nehmen. Das deutet darauf hin, dass die Angreifer es für vielfältige Zwecke einsetzen wollten. Das Framework besteht aus mehreren Komponenten, wie etwa einem Loader, einem Orchestrator (der die Prozesse verwaltet und koordiniert, sobald ein Gerät infiziert ist) sowie Plugins.

Anzeige

Laut Kaspersky-Experten wurden die ersten Artefakte, die im Zusammenhang mit MATA gefunden wurden, etwa im April 2018 verwendet. Seitdem setzten die Hintermänner des Malware-Frameworks dieses aggressiv für eine Reihe von Angriffen gegen Unternehmen weltweit ein, um Kundendatenbanken zu stehlen und Ransomware zu verbreiten.

MATA adressiert Opfer weltweit – auch in Deutschland

Laut Daten der Kaspersky-Telemetrie befanden sich die vom MATA-Framework infizierten Opfer in Deutschland, Polen, der Türkei, Korea, Japan und Indien. Der Bedrohungsakteur scheint sich nicht auf ein bestimmtes Gebiet zu konzentrieren. Lazarus kompromittierte Systeme in verschiedenen Branchen, darunter ein Softwareentwicklungsunternehmen, eine E-Commerce-Firma und einen Internet-Service-Provider.

Kaspersky-Forscher konnten MATA mit der Lazarus-Gruppe in Verbindung bringen, die für ihre komplexen Operationen und Verbindungen nach Nordkorea sowie für Cyberspionage und finanziell motivierte Angriffe bekannt ist. Eine Reihe von Forschern, darunter auch die von Kaspersky, berichteten bereits früher über diese Gruppe, die auf Banken und andere große Finanzunternehmen abzielte, einschließlich des ATMDtrack-Angriffs und der AppleJeus-Kampagne. Die jüngste Serie von Angriffen deutet darauf hin, dass der Akteur diese Art von Aktivität beibehält.

“Diese Serie von Angriffen zeigt, dass Lazarus bereit war, beträchtliche Ressourcen in die Entwicklung des Instrumentariums und in die Erweiterung der Reichweite anvisierter Organisationen zu investieren – um insbesondere die Jagd nach Geld und Daten verstärkt fortzusetzen”, kommentiert Seongsu Park, Sicherheitsforscher bei Kaspersky. “Darüber hinaus deutet die Entwicklung von Malware für Linux- und MacOS-Systeme häufig darauf hin, dass der Angreifer das Gefühl hat, mehr als genug Tools gegen die Windows-Plattform zu besitzen, auf der die große Mehrheit der Geräte läuft. Dieser Ansatz ist typisch für erfahrene APT-Gruppen. Wir erwarten, dass das MATA-Framework noch weiterentwickelt wird, und raten Organisationen, der Sicherheit ihrer Daten noch mehr Aufmerksamkeit zu schenken, da diese nach wie vor eine der wichtigsten und wertvollsten Ressourcen darstellen, die von solchen Attacken betroffen sein könnten.”

Kaspersky-Tipps zum Schutz vor Angriffen durch Multi-Plattform-Malware:

  • Installation einer dedizierten Sicherheitslösung wie Kaspersky Endpoint Security for Business auf allen Windows-, Linux- und MacOS-Endpunkten. Dies ermöglicht den Schutz vor bekannten und unbekannten Cyberbedrohungen und bietet eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
     
  • SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels Threat Intelligence ermöglichen, damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt.
     
  • Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten, auf die ein schneller Zugriff möglich ist. Auf diese Weise können wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht werden könnten.

Weitere Informationen zum MATA-Framework auf: https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

www.kaspersky.com/de
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.