Lazarus-Gruppe greift Logistikunternehmen an

Eset_News

Beitrag teilen

Lazarus-Gruppe greift Logistikunternehmen an: Ausfälle in der weltweiten Frachtlogistik können gravierende Folgen haben. Ob digital oder analog: Ausfälle sind für die globale Frachtlogistik besonders heikel. Das hat erst jüngst die Blockierung des Suezkanals durch das Containerschiff „Ever Given“ gezeigt.

ESET Forscher haben nun eine bisher unbekannte Backdoor entdeckt, die bei einem Angriff auf ein Frachtlogistikunternehmen in Südafrika verwendet wurde. Hinter der Malware steckt die berüchtigte Lazarus-Gruppe. Hierfür haben die Security-Experten des europäischen IT-Sicherheitsherstellers Ähnlichkeiten mit früheren Operationen und Vorgehensweisen der Hacker-Gruppe entdeckt.

Backdoor Vyveva besitzt Spionage-Funktionen

Die Backdoor namens Vyveva besitzt mehrere Spionage-Funktionen, wie das Sammeln von Informationen auf dem Zielcomputer und deren Weiterleitung an Lazarus-Rechner. Auch eine Unterbrechung der IT-Systeme wäre möglich gewesen. Über das Tor-Netzwerk kommuniziert das Spionageprogramm mit seinem Command & Control (C&C)-Server. Ihre Ergebnisse haben die ESET Forscher nun auf WeliveSecurity veröffentlicht.

„Vyveva weist zahlreiche Ähnlichkeiten im Code mit älteren Lazarus-Samples auf. Darüber hinaus deuten der Einsatz eines gefälschten TLS-Protokolls bei der Netzwerkkommunikation, die Verkettung von Kommandozeilen sowie die Art, wie die Verschlüsselung und die Tor-Dienste genutzt werden, auf die APT-Gruppe hin. Daher können wir die Backdoor mit hoher Wahrscheinlichkeit der Lazarus-Gruppe zuschreiben“, sagt Filip Jurčacko, der ESET Forscher, der Vyveva analysiert hat.

ESET Forscher vermuten gezielten Angriff

Die Untersuchungen des europäischen IT-Sicherheitsherstellers deuten darauf hin, dass Vyveva gezielt eingesetzt wurde. Die ESET-Forscher konnten nur zwei Opferrechner finden, bei denen es sich um Server eines südafrikanischen Logistikunternehmens handelt. Bei der Analyse durch die ESET Forscher kam heraus, dass Vyveva seit mindestens Dezember 2018 im Einsatz ist.

Kommunikation über das Tor-Netzwerk

Die Backdoor führt Befehle aus, die von der Hackergruppe ausgegeben werden, wie beispielsweise das Sammeln sensibler Daten. Auch gibt es einen Befehl, um Zeitstempel bei Dateien zu verändern. Die Kommunikation zum C&C-Server hält Vyveva über das Tor-Netzwerk und kontaktiert diesen in dreiminütigen Abständen. Dabei sendet das Spionageprogramm Informationen über den betroffenen Computer und seine Laufwerke. Hierbei kommen sogenannte Watchdogs zum Einsatz, die bei bestimmten Veränderungen am infizierten System eine Meldung an den C&C-Server schicken.

„Besonders interessant sind spezielle Watchdogs der Backdoor, die neu angeschlossene und abgetrennte Laufwerke überwachen. Auch gibt es einen Watchdog, der die Anzahl aktiver Sessions überwacht. Das kann zum Beispiel die Anzahl angemeldeter Benutzer sein. Diese Komponenten können eine Verbindung zum C&C-Server außerhalb des regulären, vorkonfigurierten Drei-Minuten-Intervalls auslösen”, erklärt Jurčacko.

Mehr bei WeLiveSecurity auf ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Angriffe über QR-Code-Routing

Ein Anbieter von Cyber-Sicherheitslösungen, hatte bereits festgestellt, dass QR-Code-Phishing als Betrugsversuch zwischen August und September 2023 um 587 Prozent in ➡ Weiterlesen

Unternehmen geben 10 Mrd. Euro für Cybersicherheit aus

Deutschland wappnet sich gegen Cyberangriffe und investiert dazu mehr denn je in IT- und Cybersicherheit. Im laufenden Jahr werden die ➡ Weiterlesen

Professionelle Cybersicherheit für KMU

Managed Detection und Response (MDR) für KMU 24/7 an 365 Tagen im Jahr.  Der IT-Sicherheitshersteller ESET hat sein Angebot um ➡ Weiterlesen

Qakbot bleibt gefährlich

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie ➡ Weiterlesen

VexTrio: bösartigster DNS-Bedrohungsakteur identifiziert

Ein Anbieter für DNS-Management und -Sicherheit hat VexTrio, ein komplexes, kriminelles Affiliate-Programm enttarnt und geblockt. Damit erhöhen sie die Cybersicherheit. ➡ Weiterlesen

Ein Comeback von Lockbit ist wahrscheinlich

Für Lockbit ist es elementar wichtig, schnell wieder sichtbar zu sein. Opfer sind mutmaßlich weniger zahlungsfreudig, solange es Gerüchte gibt, ➡ Weiterlesen

LockBit lebt

Vor wenigen Tagen ist internationalen Strafverfolgungsbehörden ein entscheidender Schlag gegen Lockbit gelungen. Laut einem Kommentar von Chester Wisniewski, Director, Global ➡ Weiterlesen

Cybergefahr Raspberry Robin

Ein führender Anbieter einer KI-gestützten, in der Cloud bereitgestellten Cyber-Sicherheitsplattform, warnt vor Raspberry Robin. Die Malware wurde erstmals im Jahr ➡ Weiterlesen