Zum Hauptinhalt springen
vernetzte kompetenz sicherheitsmanagement

Symbolbild >br>© stock.adobe.com/# 201212297

Lazarus nutzt legitime Software zur Verbreitung von Malware

Die Experten von Kaspersky haben eine fortschrittliche APT-Kampagne (Advanced Persistent Threat) der berüchtigten Lazarus-Gruppe entdeckt und analysiert [1], die sich gegen Organisationen weltweit richtet.

Das für die Kompromittierung eingesetzte Schadprogramm wird über legitime Software verbreitet.

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine Reihe von Cybersicherheitsvorfällen identifiziert, bei denen die Opfer mittels legitimer Software infiziert worden sind, die für die Verschlüsselung von Onlinekommunikation über digitale Zertifikate entwickelt wurde. Obwohl die Schwachstellen gemeldet und Patches dafür bereitstehen, nutzen Organisationen weltweit weiterhin die schädliche Version der Software und öffnen somit der berüchtigten Lazarus-Gruppe Tür und Tor in ihr Netzwerk.

Raffiniertes Angriffsschema über Supply-Chain-Infektion legitimer Software

Die Angreifer gingen bei ihrer Operation sehr raffiniert vor. So setzten sie fortschrittliche Techniken ein, um sich einer Entdeckung zu entziehen. Zudem nutzten sie mit SIGNBT eine Malware zur Kontrolle der Opfer ein. Darüber hinaus kam das bekannte Tool LPEClient zum Einsatz, das zuvor schon bei Angriffen auf Verteidigungsunternehmen, Nuklearingenieure [2] und im Krypto-Sektor eingesetzt wurde. Diese Malware dient als Initialvektor für die Infektion und ist entscheidend für die Erstellung von Opferprofilen und zur -Bereitstellung des Payloads. Die Erkenntnisse der Kaspersky-Experten deuten darauf hin, dass die Rolle von LPEClient bei diesem und anderen Angriffen mit den bisherigen Taktiken der Lazarus-Gruppe übereinstimmt, wie sie zum Beispiel auch beim berüchtigten 3CX-Supply-Chain-Angriff [3] zu beobachten war.

Darüber hinaus zeigt die Kaspersky-Analyse, dass das ursprüngliche Opfer – der Anbieter der legitimen Software – zuvor bereits mehrfach mit der Lazarus-Malware angegriffen wurde. Dieses Muster wiederkehrender Angriffe deutet auf einen hartnäckigen Akteur hin – wohl mit dem Ziel, kritischen Quellcode zu stehlen oder eine Software-Supply-Chain zu unterbrechen. Die Hintermänner der Kampagne nutzten die Software-Schwachstellen des Unternehmens konsequent aus und attackierten weitere Organisationen, die die ungepatchte Version der Software verwendeten. Kaspersky Endpoint Security [4] entdeckte die Bedrohung proaktiv und verhinderte weitere Angriffe auf andere Ziele.

„Dass die Lazarus-Gruppe immer noch aktiv ist, ist ein Zeugnis ihrer fortschrittlichen Fähigkeiten und unerschütterlichen Motivation. Sie agiert weltweit und zielt mit vielfältigen Methoden auf diverse Branchen ab. Wir gehen davon aus, dass es sich hierbei um eine anhaltende und sich weiterentwickelnde Bedrohung handelt, die erhöhte Wachsamkeit erfordert“, sagt Seongsu Park, Lead Security Researcher beim Global Research and Analysis Team von Kaspersky.

Kaspersky-Empfehlungen zum Schutz vor bekannten und unbekannten Bedrohungen

Software, Apps und Betriebssystem regelmäßig aktualisieren, um potenzielle Sicherheitslücken zu schließen.

Bei E-Mails, Nachrichten oder Anrufen, in denen nach vertraulichen Informationen gefragt wird, Vorsicht walten lassen. Persönliche Daten nicht ohne Weiteres preisgeben oder auf verdächtige Links klicken.

Das SOC-Team sollte Zugang zu den aktuellsten Bedrohungsdaten haben. Das Kaspersky Threat Intelligence Portal [5] bietet Daten und Erkenntnisse, die von Kaspersky in über 20 Jahren gesammelt wurden.

Damit das Cybersecurity-Team eines Unternehmens im Umgang mit den neuesten zielgerichteten Bedrohungen vorbereitet ist, sollten Online-Schulungen, wie jene, die von Kasperskys GReAT-Experten [6] entwickelt werden, durchgeführt werden.

EDR-Lösungen wie Kaspersky Endpoint Detection and Response (EDR) [7] implementieren, die eine frühzeitige Erkennung, Untersuchung und rechtzeitige Behebung von Vorfällen auf Endpunktebene bieten.

[1] https://securelist.com/unveiling-lazarus-new-campaign/110888/
[2] https://securelist.com/apt-trends-report-q3-2023/110752/#southeast-asia-and-korean-peninsula
[3] https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/
[4] https://www.kaspersky.com/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/threat-intelligence
[6] https://xtraining.kaspersky.com
[7] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

-PM Kaspersky-