Lazarus Group attackiert Kryptowährungen

Die Cybersecurity-Spezialisten des finnischen Sicherheitsanbieters F-Secure haben einen schwerwiegenden Angriff auf ein Unternehmen aus der Kryptowährungsbranche mit der mutmaßlich nordkoreanischen Lazarus Group in Verbindung bringen können. Die hochprofessionelle und finanziell motivierte Gruppe von Cyberkriminellen war unter anderem 2017 für die globale Ransomware-Kampagne „WannaCry“ sowie für den Angriff auf Sony Pictures 2014 verantwortlich.

Der im Bericht “Lazarus Group Campaign Targeting The Cryptocurrency Vertical – Tactical Intelligence Report“ beschriebene Angriff ist Teil einer globalen Phishing-Kampagne, die bereits seit Januar 2018 läuft. Die davon ausgehende Gefahr hält weiter an: Die Angreifer sind weiter aktiv und stellen mit großer Wahrscheinlichkeit auch in Zukunft eine erhebliche Gefahr für die Krypto-Branche und ihre Zulieferer dar. Der Threat Intelligence Report beschreibt, wie die Lazarus-Gruppe durch Social Engineering und in diesem Fall über ein speziell auf den Systemadministrator zugeschnittenes LinkedIn-Jobangebot Zugriff zum Host erlangt hat.

Durch eine Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel, Geld zu stehlen. Die Angreifer versuchten, jegliche Beweise ihres Handelns zu beseitigen. So gelang es ihnen zum Beispiel, das Antivirenprogramm des Hosts zu deaktivieren.

F-Secures Bericht enthält konkrete Sicherheitshinweise, um Angriffe zu erkennen und abzuwehren. Diese Informationen sind für Blue Teams entscheidend.

Hier sind einige der wichtigsten Einblicke des Reports:

Einordnung des Angriffs: Der analysierte Angriff war Teil einer globalen Phishing-Kampagne der Lazarus- Gruppe, die bereits seit Januar 2018 läuft

Das Opfer: Das betroffene Unternehmen stammt aus der Kryptowährungsbranche. Ähnlich gelagerte Angriffe auf die Branche wurden bereits 2017 festgestellt.

Die Angreifer: Die Lazarus-Gruppe ist eine Organisation von hochprofessionellen und finanziell motivierten Cyberkriminellen. Sie wird oft mit der Regierung der Demokratischen Volksrepublik Korea in Verbindung gebracht und war unter anderem 2017 für die globale Ransomware-Kamapagne „WannaCry“ verantwortlich.

Erster Aufschlag: Durch Social Engineering, in diesem Fall über ein auf das Opfer zugeschnittenes LinkedIn-Jobangebot in Form eines manipulierten Worddokuments, erlangen die Hacker Zugriff auf das Host-System.

Weg zum Ziel: Mithilfe einer Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel.

Spuren verwischen: Die Gruppe versucht stets, jegliche Beweise zu vernichten. So gelang es ihnen beispielsweise, das Antivirenprogramm des Hosts zu deaktivieren.

Reaktion: Das EDR (Endpoint Detection & Response) des betroffenen Unternehmens war eine wesentliche Quelle für Beweise. Die gesammelten Erkennungsdaten liefern die Basis für proaktive Maßnahmen gegen die Gruppe.

Die Angriffe halten weiter an: Die Phishing-Kampagne der Lazarus Group reicht bis ins Jahr 2020 hinein. F-Secure erwartet, dass auch in Zukunft die Kryptowährungsbranche und ihre Zulieferer angegriffen werden.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago