Lazarus Group attackiert Kryptowährungen

Die Cybersecurity-Spezialisten des finnischen Sicherheitsanbieters F-Secure haben einen schwerwiegenden Angriff auf ein Unternehmen aus der Kryptowährungsbranche mit der mutmaßlich nordkoreanischen Lazarus Group in Verbindung bringen können. Die hochprofessionelle und finanziell motivierte Gruppe von Cyberkriminellen war unter anderem 2017 für die globale Ransomware-Kampagne „WannaCry“ sowie für den Angriff auf Sony Pictures 2014 verantwortlich.

Der im Bericht “Lazarus Group Campaign Targeting The Cryptocurrency Vertical – Tactical Intelligence Report“ beschriebene Angriff ist Teil einer globalen Phishing-Kampagne, die bereits seit Januar 2018 läuft. Die davon ausgehende Gefahr hält weiter an: Die Angreifer sind weiter aktiv und stellen mit großer Wahrscheinlichkeit auch in Zukunft eine erhebliche Gefahr für die Krypto-Branche und ihre Zulieferer dar. Der Threat Intelligence Report beschreibt, wie die Lazarus-Gruppe durch Social Engineering und in diesem Fall über ein speziell auf den Systemadministrator zugeschnittenes LinkedIn-Jobangebot Zugriff zum Host erlangt hat.

Durch eine Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel, Geld zu stehlen. Die Angreifer versuchten, jegliche Beweise ihres Handelns zu beseitigen. So gelang es ihnen zum Beispiel, das Antivirenprogramm des Hosts zu deaktivieren.

F-Secures Bericht enthält konkrete Sicherheitshinweise, um Angriffe zu erkennen und abzuwehren. Diese Informationen sind für Blue Teams entscheidend.

Hier sind einige der wichtigsten Einblicke des Reports:

Einordnung des Angriffs: Der analysierte Angriff war Teil einer globalen Phishing-Kampagne der Lazarus- Gruppe, die bereits seit Januar 2018 läuft

Das Opfer: Das betroffene Unternehmen stammt aus der Kryptowährungsbranche. Ähnlich gelagerte Angriffe auf die Branche wurden bereits 2017 festgestellt.

Die Angreifer: Die Lazarus-Gruppe ist eine Organisation von hochprofessionellen und finanziell motivierten Cyberkriminellen. Sie wird oft mit der Regierung der Demokratischen Volksrepublik Korea in Verbindung gebracht und war unter anderem 2017 für die globale Ransomware-Kamapagne „WannaCry“ verantwortlich.

Erster Aufschlag: Durch Social Engineering, in diesem Fall über ein auf das Opfer zugeschnittenes LinkedIn-Jobangebot in Form eines manipulierten Worddokuments, erlangen die Hacker Zugriff auf das Host-System.

Weg zum Ziel: Mithilfe einer Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel.

Spuren verwischen: Die Gruppe versucht stets, jegliche Beweise zu vernichten. So gelang es ihnen beispielsweise, das Antivirenprogramm des Hosts zu deaktivieren.

Reaktion: Das EDR (Endpoint Detection & Response) des betroffenen Unternehmens war eine wesentliche Quelle für Beweise. Die gesammelten Erkennungsdaten liefern die Basis für proaktive Maßnahmen gegen die Gruppe.

Die Angriffe halten weiter an: Die Phishing-Kampagne der Lazarus Group reicht bis ins Jahr 2020 hinein. F-Secure erwartet, dass auch in Zukunft die Kryptowährungsbranche und ihre Zulieferer angegriffen werden.