Neue Lazarus-Kampagne nutzt legitime Software

Kaspersky_news

Beitrag teilen

APT-Kampagne (Advanced Persistent Threat) der Lazarus-Gruppe attackiert Organisationen weltweit. Das für die Kompromittierung eingesetzte Schadprogramm wird über legitime Software verbreitet.

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine Reihe von Cybersicherheitsvorfällen identifiziert, bei denen die Opfer mittels legitimer Software infiziert worden sind, die für die Verschlüsselung von Onlinekommunikation über digitale Zertifikate entwickelt wurde. Obwohl die Schwachstellen gemeldet und Patches dafür bereitstehen, nutzen Organisationen weltweit weiterhin die schädliche Version der Software und öffnen somit der berüchtigten Lazarus-Gruppe Tür und Tor in ihr Netzwerk.

Anzeige

Raffiniertes Angriffsschema über Supply-Chain-Infektion legitimer Software

Die Angreifer gingen bei ihrer Operation sehr raffiniert vor. So setzten sie fortschrittliche Techniken ein, um sich einer Entdeckung zu entziehen. Zudem nutzten sie mit SIGNBT eine Malware zur Kontrolle der Opfer ein. Darüber hinaus kam das bekannte Tool LPEClient zum Einsatz, das zuvor schon bei Angriffen auf Verteidigungsunternehmen, Nuklearingenieure und im Krypto-Sektor eingesetzt wurde. Diese Malware dient als Initialvektor für die Infektion und ist entscheidend für die Erstellung von Opferprofilen und zur -Bereitstellung des Payloads. Die Erkenntnisse der Kaspersky-Experten deuten darauf hin, dass die Rolle von LPEClient bei diesem und anderen Angriffen mit den bisherigen Taktiken der Lazarus-Gruppe übereinstimmt, wie sie zum Beispiel auch beim berüchtigten 3CX-Supply-Chain-Angriff zu beobachten war.

Lazarus-Gruppe greift wiederholt an

Darüber hinaus zeigt die Kaspersky-Analyse, dass das ursprüngliche Opfer – der Anbieter der legitimen Software – zuvor bereits mehrfach mit der Lazarus-Malware angegriffen wurde. Dieses Muster wiederkehrender Angriffe deutet auf einen hartnäckigen Akteur hin – wohl mit dem Ziel, kritischen Quellcode zu stehlen oder eine Software-Supply-Chain zu unterbrechen. Die Hintermänner der Kampagne nutzten die Software-Schwachstellen des Unternehmens konsequent aus und attackierten weitere Organisationen, die die ungepatchte Version der Software verwendeten. Kaspersky Endpoint Security entdeckte die Bedrohung proaktiv und verhinderte weitere Angriffe auf andere Ziele.

„Dass die Lazarus-Gruppe immer noch aktiv ist, ist ein Zeugnis ihrer fortschrittlichen Fähigkeiten und unerschütterlichen Motivation. Sie agiert weltweit und zielt mit vielfältigen Methoden auf diverse Branchen ab. Wir gehen davon aus, dass es sich hierbei um eine anhaltende und sich weiterentwickelnde Bedrohung handelt, die erhöhte Wachsamkeit erfordert“, sagt Seongsu Park, Lead Security Researcher beim Global Research and Analysis Team von Kaspersky.

Mehr bei Kaspersky.de

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

DDoS-Angriffe steigen weiter

Im letzten Quartal 2024 sind DDoS-Angriffe um 16 Prozent im Quartals- und 83 Prozent im Jahresvergleich gestiegen. Ungefähr sieben von ➡ Weiterlesen

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen