APT Gruppe Lazarus: Nordkorea erbeutet 630 Mill. Dollar

Anzeige

Beitrag teilen

Laut einem UNO-Expertenbericht konnte Nordkorea im Jahr 2022 mittels Cyberangriffen durch die APT-Gruppe Lazarus eine Rekordsumme erbeuten. Es wird davon ausgegangen, dass nordkoreanische Cyberkriminelle mindestens 630 Millionen US-Dollar gestohlen haben.

Das sanktionierte Land nutzt das Geld hauptsächlich dafür, sein Atom- und Raketenprogramm zu finanzieren. Für die Cyberangriffe verantwortlich gemacht wird unter anderem die staatliche Gruppe Lazarus. In der öffentlichen Berichterstattung wird die Lazarus-Gruppe häufig als Oberbegriff für zahlreiche nordkoreanische Cyber-Akteure verwendet. Ein Blogbeitrag von Mandiant gibt detaillierte Einblicke in die verschiedenen Institutionen innerhalb des Einsiedlerstaates und hilft zu verstehen, wie die Akteure sich weiterentwickeln und Ressourcen gemeinsam nutzen.

Anzeige

Viele APT-Gruppen arbeiten in einen Topf

TEMP.Hermit, APT38 und Andariel sind wahrscheinlich Lab 110 untergeordnet . Lab 110 ist wahrscheinlich eine erweiterte und neu organisierte Version von „ Bureau 121 “ , das oft als Nordkoreas primäre Hacking-Einheit bezeichnet wird. Lab 110 enthält einige Elemente, die am engsten mit der Organisation verbunden sind, die öffentlich als „Lazarus-Gruppe“ gemeldet wird. Die Open-Source- Berichterstattung verwendet häufig den Titel der Lazarus-Gruppe als Überbegriff und bezieht sich auf zahlreiche Cluster, die wir separat verfolgen. Obwohl TEMP.Hermit am häufigsten mit der Berichterstattung der Lazarus-Gruppe in Einklang gebracht wird, werfen Forscher und offene Quellen oft alle drei dieser Akteursgruppen – und manchmal sogar alle nordkoreanischen APTs – einfach als „ Lazarus-Gruppe “ in einen Topf.

Ziele der nordkoreanischen Cyberkriminellen

„Trotz der Schwankungen auf dem Kryptomarkt hält Nordkorea daran fest, diese Vermögenswerte ins Visier zu nehmen. Diese Akteure sind an einer Reihe von Betrugsmethoden beteiligt, um Geld zu beschaffen und es in die Kassen des Regimes zu spülen. Manche Eindringlinge konzentrieren sich rein auf die Geldbeschaffung. Andere sammeln in erster Linie nachrichtendienstliche Informationen und haben es auf Kryptowährungen abgesehen, um ihre Operationen zu finanzieren. Sowohl Unternehmen als auch vermögende Privatpersonen sind Ziel der Angriffe, die sich ständig weiterentwickeln und häufig unbemerkt bleiben.“ – John Hultquist, Head of Mandiant Threat Intelligence bei Google Cloud.

Anzeige
Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Kampagne der APT-Gruppe UNC5174

Ein Threat Research Team (TRT) hat eine laufende Kampagne der chinesischen APT-Gruppe UNC5174 aufgedeckt, die auf Linux-basierte Systeme in westlichen ➡ Weiterlesen

Nordkoreanische staatlich unterstützte Bedrohungsgruppe

Das Unit 42-Team hat neue Forschungsergebnisse veröffentlicht, die eine ausgeklügelte Kampagne von Slow Pisces (auch bekannt als Jade Sleet, TraderTraitor, ➡ Weiterlesen

Hacker: Bildungsverlag verliert wohl Terabytes an Daten

Pearson, ein weltweit führendes Unternehmen im Bildungsbereich, wurde Opfer eines Cyberangriffs, bei dem Kundendaten kompromittiert wurden. Laut verschiedener Medien sollen ➡ Weiterlesen

KMUs: Ransomware weiterhin Angreifer Nr. 1

Der neue MDR-Report wertet Incident Response Vorfälle bei KMUs - mittelständischen Unternehmen 2024 aus und zeigt, dass Angriffe mit Ransomware ➡ Weiterlesen

Nordkoreanische APT-Gruppe nutzt russische Internet-Infrastruktur

Eine neue Experten-Analyse zur nordkoreanischen APT-Gruppe Void Dokkaebi. Die Untersuchung zeigt, wie die Gruppe gezielt russische Internet-Infrastruktur nutzt, um Krypto-Diebstähle ➡ Weiterlesen

Fehlerhafte ASUS-Software lässt Malware-Installationen zu 

Die vorinstallierte ASUS DriverHub-Software weist eine kritische Sicherheitslücke auf, die Angreifern Remote-Code-Ausführung von Malware ermöglicht. Durch die fehlerhafte Prüfung von ➡ Weiterlesen

Play-Ransomware nutzt Windows Zero-Day-Schwachstelle 

Die Ransomware-Gruppe Play und verbündete Gruppen nutzen laut Symantec einen Exploit der auf die Zero-Day-Sicherheitslücke CVE-2025-29824 abzielt. Die Schwachstelle wurde ➡ Weiterlesen

Samsung-Server-Software von Exploit attackiert

In Samsung MagicINFO 9 wurde bereits im August 2024 eine Schwachstelle entdeckt. Nachdem im April ein Forschungsbericht veröffentlicht wurde, tauchte ➡ Weiterlesen