Lazarus Group attackiert Kryptowährungen

Die Cybersecurity-Spezialisten des finnischen Sicherheitsanbieters F-Secure haben einen schwerwiegenden Angriff auf ein Unternehmen aus der Kryptowährungsbranche mit der mutmaßlich nordkoreanischen Lazarus Group in Verbindung bringen können. Die hochprofessionelle und finanziell motivierte Gruppe von Cyberkriminellen war unter anderem 2017 für die globale Ransomware-Kampagne „WannaCry“ sowie für den Angriff auf Sony Pictures 2014 verantwortlich.

Der im Bericht “Lazarus Group Campaign Targeting The Cryptocurrency Vertical – Tactical Intelligence Report“ beschriebene Angriff ist Teil einer globalen Phishing-Kampagne, die bereits seit Januar 2018 läuft. Die davon ausgehende Gefahr hält weiter an: Die Angreifer sind weiter aktiv und stellen mit großer Wahrscheinlichkeit auch in Zukunft eine erhebliche Gefahr für die Krypto-Branche und ihre Zulieferer dar. Der Threat Intelligence Report beschreibt, wie die Lazarus-Gruppe durch Social Engineering und in diesem Fall über ein speziell auf den Systemadministrator zugeschnittenes LinkedIn-Jobangebot Zugriff zum Host erlangt hat.

Durch eine Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel, Geld zu stehlen. Die Angreifer versuchten, jegliche Beweise ihres Handelns zu beseitigen. So gelang es ihnen zum Beispiel, das Antivirenprogramm des Hosts zu deaktivieren.

F-Secures Bericht enthält konkrete Sicherheitshinweise, um Angriffe zu erkennen und abzuwehren. Diese Informationen sind für Blue Teams entscheidend.

Hier sind einige der wichtigsten Einblicke des Reports:

Einordnung des Angriffs: Der analysierte Angriff war Teil einer globalen Phishing-Kampagne der Lazarus- Gruppe, die bereits seit Januar 2018 läuft

Das Opfer: Das betroffene Unternehmen stammt aus der Kryptowährungsbranche. Ähnlich gelagerte Angriffe auf die Branche wurden bereits 2017 festgestellt.

Die Angreifer: Die Lazarus-Gruppe ist eine Organisation von hochprofessionellen und finanziell motivierten Cyberkriminellen. Sie wird oft mit der Regierung der Demokratischen Volksrepublik Korea in Verbindung gebracht und war unter anderem 2017 für die globale Ransomware-Kamapagne „WannaCry“ verantwortlich.

Erster Aufschlag: Durch Social Engineering, in diesem Fall über ein auf das Opfer zugeschnittenes LinkedIn-Jobangebot in Form eines manipulierten Worddokuments, erlangen die Hacker Zugriff auf das Host-System.

Weg zum Ziel: Mithilfe einer Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel.

Spuren verwischen: Die Gruppe versucht stets, jegliche Beweise zu vernichten. So gelang es ihnen beispielsweise, das Antivirenprogramm des Hosts zu deaktivieren.

Reaktion: Das EDR (Endpoint Detection & Response) des betroffenen Unternehmens war eine wesentliche Quelle für Beweise. Die gesammelten Erkennungsdaten liefern die Basis für proaktive Maßnahmen gegen die Gruppe.

Die Angriffe halten weiter an: Die Phishing-Kampagne der Lazarus Group reicht bis ins Jahr 2020 hinein. F-Secure erwartet, dass auch in Zukunft die Kryptowährungsbranche und ihre Zulieferer angegriffen werden.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago