Kaspersky-Forscher identifizierten bei Lazarus – einem äußerst produktiven Advanced Threat-Akteur – verstärkte Angriffsfähigkeiten auf Lieferketten. Des Weiteren setzt die Advanced-Persistent-Threat (APT)-Gruppe nun das plattformübergreifende MATA-Framework für Cyberspionage-Ziele ein, wie eine aktuelle Untersuchung zeigt.
Cyberkriminelle entwickeln sich ständig weiter. Während einige APT-Akteure (Advanced Persistent Threat) ihre Strategie beibehalten, wenden andere neue Techniken, Taktiken und Verfahren an, um neue Ziele noch erfolgreicher anzugehen. Lazarus ist einer der weltweit aktivsten Bedrohungsakteure und ist mindestens seit dem Jahr 2009 aktiv. Diese APT-Gruppe steckt hinter groß angelegten Cyberspionage- und Ransomware-Kampagnen und wurde bei Angriffen auf die Verteidigungsindustrie [3] und den Kryptowährungsmarkt gesichtet. Sie verfügen über eine Vielzahl fortschrittlicher Tools, die sie nun offenbar gegen neue Ziele einsetzen.
Im Juni 2021 beobachteten Kaspersky-Forscher, wie die Lazarus-Gruppe die Verteidigungsindustrie mit dem MATA-Malware-Framework, das auf drei Betriebssysteme – Windows, Linux und macOS – abzielt, angriff. In der Vergangenheit hat Lazarus MATA genutzt, um verschiedene Branchen anzugreifen, etwa um Kundendatenbanken zu stehlen oder Ransomware zu verbreiten. Nun verwendet Lazarus MATA jeoch auch für Cyberspionagezwecke. Der Akteur nutzte eine Trojaner-Version einer Anwendung, von der bekannt ist, dass sie vom adressierten Opfer verwendet wird – ein typisches Lazarus-Merkmal. Es ist nicht das erste Mal, dass die Lazarus-Gruppe die Verteidigungsindustrie angreift: Ihre vorherige ThreatNeedle-Kampagne wurde Mitte 2020 auf ähnliche Weise durchgeführt.
Angriffe werden auf Lieferkette ausgeweitet
Lazarus wurde auch hinsichtlich Angriffe auf Lieferketten mit einem aktualisierten DeathNote-Cluster identifiziert, der aus einer leicht aktualisierten Variante von BLINDINGCAN besteht. Dabei handelt es sich um eine Malware, die zuvor von der US Cybersecurity and Infrastructure Security Agency (CISA) gemeldet wurde. Kaspersky-Forscher entdeckten Kampagnen, die auf einen südkoreanischen Think-Tank und einen Anbieter von IT-Überwachungslösungen abzielten. Im ersten Fall, den Kaspersky-Forscher entdeckten, entwickelte Lazarus eine Infektionskette, die von einer legitimen südkoreanischen Sicherheitssoftware ausging, indem eine schädliche Payload bereitgestellt wurde. Im zweiten Fall war das Ziel ein Unternehmen, das Asset-Monitoring-Lösungen in Lettland entwickelt, ein untypisches Opfer für Lazarus. Als Teil der Infektionskette verwendete Lazarus einen Downloader namens ‚Racket,, der mit einem gestohlenen Zertifikat versehen war. Hierbei wurden anfällige Webserver kompromittiert und mehrere Skripte hochgeladen, um schädliche Dateien auf den erfolgreich angegriffenen Rechnern zu filtern und steuern.
„Die jüngsten Entwicklungen machen zwei Dinge deutlich: Lazarus ist nach wie vor an der Verteidigungsindustrie interessiert und versucht außerdem, seine Fähigkeiten mit Angriffen auf die Lieferkette zu erweitern“, kommentiert Ariel Jungheit, Senior Security Researcher imGlobal Research and Analysis Team bei Kaspersky. „Diese APT-Gruppe ist nicht die Einzige, die Supply-Chain-Angriffe durchführt. Im vergangenen Quartal haben wir auch Attacken beobachtet, die von SmudgeX und BountyGlad durchgeführt wurden. Bei einem erfolgreichen Vorgehen, können Kompromittierungen der Lieferkette verheerende Folgen haben und weit mehr als nur ein Unternehmen in Mitleidenschaft ziehen, wie der Angriff auf SolarWinds im vergangenen Jahr deutlich gezeigt hat. Da Bedrohungsakteure in solche Fähigkeiten investieren, müssen wir wachsam bleiben und unsere Verteidigungsbemühungen darauf verstärkt konzentrieren.“
Empfehlungen zum Schutz vor zielgerichteten Angriffen
- Das SOC-Team einer Organisation sollte stets Zugang zu den neuesten Bedrohungsdaten haben
- Cybersecurity-Teams sollten mithilfe den von GReAT-Experten entwickelten Kaspersky-Online-Schulungen immer auf dem neuesten Stand hinsichtlich der aktuellen Bedrohungslage sein.
- EDR-Lösungen helfen bei der Erkennung, Untersuchung und Behebung von Vorfällen.
- Zusätzlich zum grundlegenden Endpunktschutz sollte eine Sicherheitslösung auf Unternehmensebene, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt.
- Da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen, sollten Schulungen zum Sicherheitsbewusstsein innerhalb der Organisation eingeführt werden, in denen der Belegschaft praktische Fähigkeit im Umgang mit Cyberbedrohungen erlernt.
www.kaspersky.de