Aktuelle Kaspersky-Untersuchungen zeigen, dass die hinter Lazarus stehenden Bedrohungsakteure ihre Angriffe mit gro\u00dfer Vorsicht unter Verwendung neuer Taktiken und Verfahren sowie durch die Nutzung des Messengers Telegram als neuen Angriffsvektor weiter fortsetzen. Bislang sind Opfer in Gro\u00dfbritannien, Polen, Russland und China von der Operation betroffen \u2013 darunter auch mehrere Unternehmen aus dem Bereich Kryptow\u00e4hrungen.<\/p>\n
Die Lazarus-Gruppe ist einer der aktivsten und produktivsten Advanced Persistent Threat (APT)-Akteure, der eine Reihe von Kampagnen gegen mit Kryptow\u00e4hrungen in Verbindung stehende Organisationen durchgef\u00fchrt hat. W\u00e4hrend der ersten Operation \u201eAppleJeus\u201c im Jahr 2018 hat die Lazarus-Gruppe eine fingierte Firma f\u00fcr Kryptow\u00e4hrungen gegr\u00fcndet, um auf diese Weise manipulierte Anwendungen auszuliefern und ein hohes Ma\u00df an Vertrauen bei potenziellen Opfern zu gewinnen. Daf\u00fcr baute sie auch eine erste Malware f\u00fcr MacOS. Die Anwendung wurde von Nutzern auf den Webseiten Dritter heruntergeladen und die sch\u00e4dliche Payload verschleiert als regul\u00e4res Anwendungs-Update ausgeliefert. Die Payload erm\u00f6glichte es den Angreifern die volle Kontrolle \u00fcber das Ger\u00e4t des Nutzers zu erlangen und Kryptow\u00e4hrung zu stehlen.<\/p>\n
Die Kaspersky-Forscher stellten bei der Folgeoperation signifikante Ver\u00e4nderungen in der Angriffstaktik der Gruppe fest: Der neue Angriffsvektor ahmte zwar den des Vorjahres nach, enthielt jedoch einige Optimierungen. Lazarus erstellte dieses Mal Fake-Websites mit Bezug zu Kryptow\u00e4hrungen, die Links zu Telegram-Kan\u00e4len gef\u00e4lschter Unternehmen enthielten und verbreitete die Malware \u00fcber diesen Messenger-Dienst.<\/p>\n
Wie bei der ersten AppleJeus-Operation bestand der Angriff aus zwei Phasen. Die Nutzer luden zun\u00e4chst eine Anwendung herunter, der zugeh\u00f6rige Downloader rief dann den n\u00e4chsten Payload von einem Remoteserver ab, so dass der Angreifer das infizierte Ger\u00e4t mittels einer permanenten Backdoor vollst\u00e4ndig kontrollieren konnte. Dieses Mal wurde die sch\u00e4dliche Anwendung jedoch mit gr\u00f6\u00dferer Vorsicht ausgeliefert, um der Erkennung durch verhaltensbasierte Erkennungsl\u00f6sungen zu entgehen. Bei Angriffen auf macOS-basierte Ziele wurde ein Authentifizierungsmechanismus zum macOS-Downloader hinzugef\u00fcgt und das Entwicklungsframework ge\u00e4ndert. Des Weiteren kam eine dateilose Infektionstechnik zum Einsatz. Beim Angriff auf Windows-Nutzer vermieden die Angreifer \u2013 im Gegensatz zur ersten AppleJeus-Welle \u2013 den Einsatz von Fallchill-Malware. Sie erstellten eine neue Variante, die lediglich auf bestimmten Systemen nach Pr\u00fcfung vorgegebener Werte aktiv wurde.<\/p>\n
Lazarus hat dar\u00fcber hinaus signifikante \u00c4nderungen in der MacOS-Malware vorgenommen und die Anzahl der Versionen erweitert. Im Gegensatz zu der vorherigen Attacke, bei der Lazarus den Open-Source QtBitcoinTrader nutzte, um einen kompletten MacOS-Installer zu bauen, kam im Rahmen der neuen AppleJeus-Angriffswelle ein selbstentwickelter Code zum Einsatz. Dies l\u00e4sst den Schluss zu, dass die Lazarus-Gruppe weiterhin an Modifikationen der MacOS-Malware arbeitet, so dass die letzte Erkennung durch Kaspersky wahrscheinlich lediglich eine Momentaufnahme darstellt.<\/p>\n
\u201eDie neue AppleJeus-Operation zeigt, dass die Lazarus-Gruppe \u2013 trotz einer merklichen Stagnation auf den M\u00e4rkten f\u00fcr Kryptow\u00e4hrungen \u2013 weiterhin in Angriffe dieser Art investiert und ihre Methoden verfeinert\u201c, betont Seongsu Park, Sicherheitsforscher bei Kaspersky. \u201eAnhaltende \u00c4nderungen und Diversifizierungen innerhalb ihrer Malware zeigen, dass es hinsichtlich eines Wachstums solcher Angriffe und der damit verbundenen Bedrohungslage keine Entwarnung gibt.\u201c<\/p>\n
Die Lazarus-Gruppe, bekannt f\u00fcr ihre ausgekl\u00fcgelten Operationen und Verbindungen nach Nordkorea, f\u00fchrt nicht nur Cyberspionage- und Cybersabotage-Angriffe durch, sondern auch finanziell motivierte Attacken. Eine Reihe von Forschern, darunter auch die von Kaspersky, haben bereits fr\u00fcher \u00fcber diese Gruppe berichtet, deren Angriffe auf Banken und andere gro\u00dfe Finanzunternehmen abzielen.<\/p>\n
Der vollst\u00e4ndige Bericht \u201eOperation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware\u201c ist hier<\/a> verf\u00fcgbar.<\/p>\n