Der berüchtigte APT-Akteur Lazarus weitet seine Angriffe aus und hat nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier [1]. Die Kaspersky-Experten konnten Angriffe mit der Backdoor DTrack auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.
Lazarus ist mindestens seit dem Jahr 2009 aktiv und wird für Angriffe mittels Cyberspionage, Cybersabotage und Ransomware verantwortlich gemacht [2]. Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten.
Derzeit richten sich die Angriffe auch gegen Unternehmen in Europa. Dabei konnten die Kaspersky-Experten zwei Angriffe in Deutschland identifizieren, bei denen DTrack als Backdoor eingesetzt wurde: einen auf ein Unternehmen in der chemischen Verarbeitung und einen in der Fertigungswirtschaft. Weiterhin konnte ein Angriff auf ein Schweizer Unternehmen in der chemischen Verarbeitung ausgemacht werden.
Veränderte Backdoor DTrack
Die Backdoor DTrack wurde ursprünglich im Jahr 2019 entdeckt [3] und hat sich im Laufe der Zeit nicht wesentlich verändert. DTrack versteckt sich in einer ausführbaren Datei, die wie ein legitimes Programm aussieht. Es gibt mehrere Phasen der Entschlüsselung, bevor die Malware-Payload startet. Neu ist eine zusätzliche dritte Verschlüsselungsebene, die in einigen der neuen Malware-Samples hinzugefügt wurde.
Kaspersky-Analysen zeigen, dass Lazarus die Backdoor für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet. Sie ermöglicht es Cyberkriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien, die bereits als Teil des üblichen Toolsets von DTrack entdeckt wurde, ist ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt kann ein solches Toolset Cyberkriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.
Laut KSN-Telemetrie ist DTrack in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. Lazarus weitet damit also seine Viktimologie aus. Zu den anvisierten Unternehmen gehören Teile der kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.
„DTrack wird nach wie vor aktiv von Lazarus genutzt“, erklärt Jornt van der Wiel, Sicherheitsexperte im Global Research and Analysis Team (GReAT) bei Kaspersky. „Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass Lazarus DTrack immer noch einen hohen Stellenwert einräumt. Trotzdem hat Lazarus seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.“
Kaspersky-Empfehlungen zum Schutz vor Malware wie DTrack
- Eine Software zur Überwachung des Datenverkehrs einsetzen.
- Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien verwenden, die Angriffe frühzeitig erkennt und blockiert.
- Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen.
- Mitarbeiter mit Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren.
[1] https://securelist.com/dtrack-targeting-europe-latin-america/107798/
[2] https://apt.securelist.com/apt/lazarus
[3] https://securelist.com/my-name-is-dtrack/93338/
www.kaspersky.de