15.11.2022
Backdoor DTrack
Lazarus greift Firmen in Europa an
Autor: Jens Stark
Archiv CW
Die berüchtigte Hacker-Gruppe Lazarus weitet ihre Angriffe aus und hat nun Unternehmen in Europa, darunter in Deutschland und der Schweiz im Visier. Dies berichten IT-Security-Experten von Kaspersky.
Die berüchtigte, auf APT-Angriffe (Advanced Persistent Threat) spezialisierte Gruppe Lazarus weitet ihre Angriffe aus und hat nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier. Experten des IT-Security-Spezialisten Kaspersky konnten Angriffe mit der Backdoor DTrack auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.
Lazarus ist nach Aussagen von Kaspersky mindestens seit dem Jahr 2009 aktiv und wird für Angriffe mittels Cyberspionage, Cybersabotage und Ransomware verantwortlich gemacht. Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea richtete. Neuerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten. Gemäß der jüngsten Entwicklung richten sich die Angriffe auch gegen Unternehmen in Europa.
Backdoor DTrack als Dreh- und Angelpunkt
Die Backdoor DTrack wurde zuerst im Jahr 2019 entdeckt und hat sich im Laufe der Zeit nicht wesentlich verändert. DTrack versteckt sich in einer ausführbaren Datei, die wie ein legitimes Programm aussieht. Es gibt mehrere Phasen der Entschlüsselung, bevor die Malware-Payload startet. Neu ist eine zusätzliche dritte Verschlüsselungsebene, die in einigen der neuen Malware-Samples hinzugefügt wurde.
Kaspersky-Analysen zeigen, dass Lazarus die Backdoor für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet. Sie ermöglicht es Cyberkriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien, die bereits als Teil des üblichen Toolsets von DTrack entdeckt wurde, ist ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt kann ein solches Toolset Cyberkriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.
DTrack ist laut Kaspersky in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. Lazarus weitet damit also seinen Opferkreis massiv aus. Zu den anvisierten Unternehmen gehören Teile der kritischen Infrastruktur wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungs- und Telekommunikationsunternehmen.
"DTrack wird nach wie vor aktiv von Lazarus genutzt", erklärt Jornt van der Wiel, Sicherheitsexperte im Global Research and Analysis Team bei Kaspersky. "Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass Lazarus DTrack immer noch einen hohen Stellenwert einräumt. Trotzdem hat Lazarus seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen."
Studie
Firmen wissen mit Blockchain nichts anzufangen
Nicht einmal ein Prozent der Unternehmen im DACH-Raum sieht Möglichkeiten zur praktischen Anwendung der Blockchain-Technologie, wie eine Studie zeigt.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
World Cybercrime Index
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend. Sie gehören zu den Top 10 in jeder der fünf untersuchten Kategorien.
>>
Termine
SecDays - Securepoint geht auf Tour
Der Sicherheitsspezialist Securepoint erwartet auf seiner Roadshow rund 1.000 Systemhäuser und Fachhändler. Unter dem Motto „Horizon“ erfahren diese Neues über die Channel- und Produktstrategie des Herstellers.
>>