Die Cybersecurity-Spezialisten des finnischen Sicherheitsanbieters F-Secure haben einen schwerwiegenden Angriff auf ein Unternehmen aus der Kryptowährungsbranche mit der mutmaßlich nordkoreanischen Lazarus Group in Verbindung bringen können. Die hochprofessionelle und finanziell motivierte Gruppe von Cyberkriminellen war unter anderem 2017 für die globale Ransomware-Kampagne „WannaCry“ sowie für den Angriff auf Sony Pictures 2014 verantwortlich.
Der im Bericht “Lazarus Group Campaign Targeting The Cryptocurrency Vertical – Tactical Intelligence Report“ beschriebene Angriff ist Teil einer globalen Phishing-Kampagne, die bereits seit Januar 2018 läuft. Die davon ausgehende Gefahr hält weiter an: Die Angreifer sind weiter aktiv und stellen mit großer Wahrscheinlichkeit auch in Zukunft eine erhebliche Gefahr für die Krypto-Branche und ihre Zulieferer dar. Der Threat Intelligence Report beschreibt, wie die Lazarus-Gruppe durch Social Engineering und in diesem Fall über ein speziell auf den Systemadministrator zugeschnittenes LinkedIn-Jobangebot Zugriff zum Host erlangt hat.
Durch eine Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel, Geld zu stehlen. Die Angreifer versuchten, jegliche Beweise ihres Handelns zu beseitigen. So gelang es ihnen zum Beispiel, das Antivirenprogramm des Hosts zu deaktivieren.
F-Secures Bericht enthält konkrete Sicherheitshinweise, um Angriffe zu erkennen und abzuwehren. Diese Informationen sind für Blue Teams entscheidend.
Hier sind einige der wichtigsten Einblicke des Reports:
Einordnung des Angriffs: Der analysierte Angriff war Teil einer globalen Phishing-Kampagne der Lazarus- Gruppe, die bereits seit Januar 2018 läuft
Das Opfer: Das betroffene Unternehmen stammt aus der Kryptowährungsbranche. Ähnlich gelagerte Angriffe auf die Branche wurden bereits 2017 festgestellt.
Die Angreifer: Die Lazarus-Gruppe ist eine Organisation von hochprofessionellen und finanziell motivierten Cyberkriminellen. Sie wird oft mit der Regierung der Demokratischen Volksrepublik Korea in Verbindung gebracht und war unter anderem 2017 für die globale Ransomware-Kamapagne „WannaCry“ verantwortlich.
Erster Aufschlag: Durch Social Engineering, in diesem Fall über ein auf das Opfer zugeschnittenes LinkedIn-Jobangebot in Form eines manipulierten Worddokuments, erlangen die Hacker Zugriff auf das Host-System.
Weg zum Ziel: Mithilfe einer Kombination aus angepasster Malware und Dienstprogrammen erreichen die finanziell motivierten Angreifer ihr Ziel.
Spuren verwischen: Die Gruppe versucht stets, jegliche Beweise zu vernichten. So gelang es ihnen beispielsweise, das Antivirenprogramm des Hosts zu deaktivieren.
Reaktion: Das EDR (Endpoint Detection & Response) des betroffenen Unternehmens war eine wesentliche Quelle für Beweise. Die gesammelten Erkennungsdaten liefern die Basis für proaktive Maßnahmen gegen die Gruppe.
Die Angriffe halten weiter an: Die Phishing-Kampagne der Lazarus Group reicht bis ins Jahr 2020 hinein. F-Secure erwartet, dass auch in Zukunft die Kryptowährungsbranche und ihre Zulieferer angegriffen werden.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Lazarus Group attackiert Kryptowährungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.