Unsere Sicherheitsexperten haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde. Die Spyware ,Dtrack\u2018 stammt wohl von der Lazarus-Gruppe und wird zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschl\u00e4gen und zum Ausf\u00fchren weiterer Aktionen verwendet, die f\u00fcr ein b\u00f6swilliges Remote Admin Tool (RAT) typisch sind.<\/p>\n
Im Jahr 2018 entdeckten Kaspersky-Forscher die Malware \u201aATMDtrack\u2018, die Geldautomaten in Indien infiltrierte und Karteninformationen von Kunden stahl. Nach weiteren Untersuchungen mit der Kaspersky Attribution Engine und anderen Tools fanden die Forscher mehr als 180 neue Malware-Samples, deren Codesequenz \u00c4hnlichkeiten mit ATMDtrack aufwies. Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen weisen die Funktionen der Dtrack-Malware sie als Spionagetool aus. Beide haben Gemeinsamkeiten mit der Kampagne DarkSeoul aus dem Jahr 2013, die Lazarus zugeschrieben wird. Bei Lazarus handelt es sich um eine ber\u00fcchtigte Gruppe, die f\u00fcr mehrere Cyberspionage- und Cybersabotage-Operationen verantwortlich sein soll.<\/p>\n
\u00a0<\/p>\n
Dtrack kann als Remote Admin Tool (RAT, Fernwartungstool) verwendet werden, mit dem Angreifer die vollst\u00e4ndige Kontrolle \u00fcber infizierte Ger\u00e4te erlangen. Cyberkriminelle k\u00f6nnen damit verschiedene Vorg\u00e4nge ausf\u00fchren wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausf\u00fchren von Schl\u00fcsselprozessen.<\/p>\n
Organisationen, die von Bedrohungsakteuren mit Dtrack RAT angegriffen werden, weisen h\u00e4ufig schwache Netzwerksicherheitsrichtlinien und Passw\u00f6rter auf. Au\u00dferdem sind sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung kann die Spyware alle verf\u00fcgbaren Dateien und ausgef\u00fchrten Prozesse, die Tastaturanschl\u00e4ge, den Browserverlauf und die Host-IP-Adressen auff\u00fchren \u2013 einschlie\u00dflich Informationen zu verf\u00fcgbaren Netzwerken und aktiven Verbindungen.<\/p>\n
Basierend auf den Daten der Kaspersky-Telemetrie ist die neu entdeckte Malware aktiv und wird noch f\u00fcr Cyberangriffe verwendet.<\/p>\n
Lazarus ist eine eher ungew\u00f6hnliche nationalstaatlich gef\u00f6rderte Gruppe. Einerseits konzentriert sie sich wie viele \u00e4hnliche Gruppen auf die Durchf\u00fchrung von Cyberspionage- oder Sabotage-Operationen. Andererseits wurde auch festgestellt, dass sie Angriffe durchf\u00fchrt, die eindeutig darauf abzielen, Geld zu stehlen.<\/p>\n
Letzteres ist f\u00fcr einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggr\u00fcnde f\u00fcr ihre Operationen haben. Die zahlreichen Dtrack-Samples, die wir gefunden haben, zeigen, dass Lazarus eine der aktivsten APT-Gruppen ist, die st\u00e4ndig Bedrohungen entwickelt und weiterentwickelt, um gro\u00dfe Industrien anzugreifen. Ihre erfolgreiche Ausf\u00fchrung von Dtrack RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen. Forschungszentrum oder Finanzorganisation, die ausschlie\u00dflich im kommerziellen Bereich ohne staatliche Tochtergesellschaften t\u00e4tig sind, sollten die M\u00f6glichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten.<\/p>\n
Kaspersky-Produkte erkennen und blockieren die Dtrack-Malware erfolgreich.<\/p>\n
\u00a0<\/p>\n