Lazarus von KoreaHacker (Informatik) (Lehnwort)Die Organisation war schon immerNetzwerksicherheitEine große Sorge für die Gemeinschaft. Vor kurzem wurde festgestellt, dass sie hinter einer neuen Angriffskampagne stecken. Bei dieser Kampagne wurde ein nicht genannter Softwarehersteller durch Ausnutzung bekannter Sicherheitslücken in hoch angesehener Software kompromittiert.
Laut Kaspersky gipfelten diese Angriffe in der Verbreitung von Malware wie SIGNBT und LPEClient, bekannten Hacking-Tools, die von Bedrohungsakteuren für die Opferanalyse und die Übermittlung von Nutzdaten verwendet werden.
Der Sicherheitsforscher Seongsu Park stellte fest, dass der Angriff ein hohes Maß an Raffinesse aufwies, da der Angreifer fortschrittliche Umgehungstechniken einsetzte und die SIGNBT-Malware einführte, um die Kontrolle über das Opfer zu erlangen.Die SIGNBT-Malware verwendet eine vielfältige Infektionskette und ausgefeilte Techniken.
Russischen Cybersecurity-Anbietern zufolge ist das Unternehmen, das die ausgenutzte Software entwickelt hat, bereits mehrfach Opfer von Lazarus-Angriffen geworden. Dies deutet auf einen Versuch hin, Quellcode zu stehlen oder die Software-Lieferkette zu kontaminieren, ähnlich wie bei dem früheren Angriff auf die 3CX-Lieferkette.
Die Lazarus-Organisation nutzt weiterhin Schwachstellen in der Software des Unternehmens aus und nimmt andere Softwarehersteller ins Visier. Berichten zufolge wurden in der jüngsten Kampagne mehrere Opfer herausgegriffen.
Nach Angaben des Unternehmens wurden die Opfer durch eine legitime Sicherheitssoftware angegriffen, die die Netzwerkkommunikation mit digitalen Zertifikaten verschlüsseln soll, aber der genaue Name der Software wurde nicht veröffentlicht. Der genaue Mechanismus, über den sich die SIGNBT-Malware verbreitet, ist noch unklar.
Die Angriffskette nutzt nicht nur verschiedene Taktiken, um sich auf infizierten Systemen zu etablieren und dort zu halten, sondern auch Speicherlader, um die SIGNBT-Malware zu starten.
Die Hauptfunktion der SIGNBT-Malware ist die Kontaktaufnahme mit einem Remote-Server und das Abrufen weiterer Befehle zur Ausführung auf dem infizierten Host. Die Malware verwendet in der HTTP-basierten Command-and-Control-Kommunikation (C2) eindeutige Zeichenfolgen mit dem Präfix "SIGNBT", z. B. SIGNBTLG für die erste Verbindung, SIGNBTKE für das Sammeln von Systemmetadaten, SIGNBTGC für das Abrufen von Befehlen, SIGNBTFI bei Kommunikationsfehlern und SIGNBTSR bei erfolgreicher Kommunikation.
Die SIGNBT-Malware selbst verfügt über eine Vielzahl von Funktionen, mit denen die Kontrolle über die Opfersysteme übernommen werden kann. Dazu gehören die Aufzählung von Prozessen, die Manipulation von Dateien und Verzeichnissen sowie die Bereitstellung von Nutzdaten wie LPEClient und anderen Dienstprogrammen zum Auslesen von Anmeldeinformationen.
Laut Kaspersky wurden im Jahr 2023 mindestens drei verschiedene Lazarus-Kampagnen entdeckt, die unterschiedliche Einbruchsvektoren und Infektionsverfahren verwendeten, sich aber immer auf die Malware LPEClient stützten, um die letzte Stufe der Malware zu verbreiten.
Eines der Implantatprogramme mit dem Kampagnen-Codenamen Gopuram ebnete den Weg für Cyberattacken gegen Kryptowährungsunternehmen, indem es eine trojanisierte Version der Sprach- und Videokonferenzsoftware von 3CX ausnutzte.
Diese jüngsten Entdeckungen sind nur die jüngsten Beispiele für Cyberoperationen der DVRK und zeigen, dass die Lazarus-Organisation ihr Arsenal an Werkzeugen, Taktiken und Techniken ständig weiterentwickelt und ausbaut.
Die Lazarus-Organisation war schon immer ein äußerst aktiver und vielseitiger Bedrohungsakteur und gibt in der heutigen Cybersicherheitslandschaft weiterhin Anlass zu großer Sorge. Sie verbessert ständig ihre Angriffstechniken und findet neue Ziele und Schwachstellen, die sie ausnutzen kann. Neben Angriffen auf Software-Anbieter hat sich die Lazarus-Organisation auch in andere Bereiche wie Finanzinstitute und Kryptowährungsbörsen vorgewagt. Sie nutzen eine Vielzahl von Taktiken, darunter Social Engineering, Phishing-E-Mails und die Verbreitung von Malware, um sensible Informationen zu stehlen, Geld zu erbeuten und Spionage zu betreiben.
Die Aktivitäten der Lazarus-Organisation werden mit der Regierung der DVRK in Verbindung gebracht. Es wird angenommen, dass sie eine autorisierte Einrichtung der DVRK-Regierung ist, die die Regierung mit Cyberangriffsfähigkeiten versorgt und ihr hilft, ihre politischen und wirtschaftlichen Ziele zu erreichen. Sie sind seit mehreren Jahren aktiv und geben der Cybersicherheitsgemeinschaft Anlass zu großer Sorge.
Um sich vor solchen Angriffen zu schützen, sollten Software-Anbieter und andere potenzielle Ziele eine Reihe von Sicherheitsmaßnahmen ergreifen. Dazu gehören die regelmäßige Aktualisierung und das Ausbessern von Sicherheitslücken in der Software, die Einführung starker Authentifizierungs- und Zugangskontrollmechanismen, die Schulung des Personals in bewährten Verfahren der Cybersicherheit und der Einsatz fortschrittlicher Systeme zur Erkennung und Verhinderung von Eindringlingen.
Die Nutzer sollten außerdem wachsam bleiben, indem sie nicht auf Links von verdächtigen oder unbekannten Quellen klicken, keine Anhänge von unbekannten Quellen herunterladen, ihre Betriebssysteme und Anwendungen regelmäßig aktualisieren und warten und zuverlässige Sicherheitssoftware zum Schutz ihrer Geräte vor Malware verwenden.
Insgesamt zeigen die Aktivitäten der Lazarus-Organisation die ständige Weiterentwicklung und Eskalation von Cyber-Bedrohungen. Angesichts dieser Bedrohungen sind ein kontinuierliches Sicherheitsbewusstsein und umfassende Abwehrmaßnahmen unerlässlich.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/lazarus-group-attacks-software-suppliers-with-known-vulnerabilities.html
