Lazarus greift Firma in der Schweiz an

Der berüchtigte, auf APT-Angriffe (Advanced Persistent Threat) spezialisierte Gruppe Lazarus weitet seine Angriffe aus und hat nun Unternehmen in Europa, darunter in Deutschland und in der Schweiz im Visier. Experten der IT-Security-Spezialistin Kaspersky konnten Angriffe mit der Backdoor DTrack auf zwei deutsche Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifizieren sowie einen auf ein Schweizer Unternehmen in der chemischen Verarbeitung.

Lazarus ist gemäss Aussagen von Kaspersky mindestens seit dem Jahr 2009 aktiv und wird für Angriffe mittels Cyberspionage, Cybersabotage und Ransomware verantwortlich gemacht. Ursprünglich konzentrierte sich die Gruppe auf die Umsetzung einer scheinbar geopolitischen Agenda, die sich hauptsächlich auf Südkorea konzentrierte. Allerdings ist sie zu globalen Zielen übergegangen und hat begonnen, auch Angriffe zur finanziellen Bereicherung zu starten. Gemäss der jüngsten Entwicklung richten sich die Angriffe auch gegen Unternehmen in Europa.

Die Backdoor DTrack wurde ursprünglich im Jahr 2019 entdeckt und hat sich im Laufe der Zeit nicht wesentlich verändert. DTrack versteckt sich in einer ausführbaren Datei, die wie ein legitimes Programm aussieht. Es gibt mehrere Phasen der Entschlüsselung, bevor die Malware-Payload startet. Neu ist eine zusätzliche dritte Verschlüsselungsebene, die in einigen der neuen Malware-Samples hinzugefügt wurde.

Kaspersky-Analysen zeigen, dass Lazarus die Backdoor für eine Vielzahl von Angriffen mit der Zielsetzung finanziellen Gewinns verwendet. Sie ermöglicht es Cyberkriminellen, Dateien auf dem Host des Opfers hochzuladen, herunterzuladen, zu starten oder zu löschen. Eine der heruntergeladenen und ausgeführten Dateien, die bereits als Teil des üblichen Toolsets von DTrack entdeckt wurde, ist ein Keylogger sowie ein Screenshot-Ersteller und ein Modul zum Sammeln von Systeminformationen des Opfers. Insgesamt kann ein solches Toolset Cyberkriminellen dabei helfen, laterale Bewegungen in der Infrastruktur der Opfer durchzuführen, um beispielsweise Informationen abzurufen.

DTrack ist laut Kaspersky in Deutschland, Brasilien, Indien, Italien, Mexiko, der Schweiz, Saudi-Arabien, der Türkei und den USA aktiv. Lazarus weitet damit also seinen Opferkreis massiv aus. Zu den anvisierten Unternehmen gehören Teile der kritischen Infrastrukturen wie Bildungseinrichtungen, Unternehmen in der chemischen Verarbeitung, staatliche Forschungszentren und Ministerien, IT-Dienstleister, Versorgungsunternehmen und Telekommunikation.

«DTrack wird nach wie vor aktiv von Lazarus genutzt», erklärt Jornt van der Wiel, Sicherheitsexperte im Global Research and Analysis Team (Great) bei Kaspersky. «Änderungen, die an der Art und Weise vorgenommen wurden, wie die Malware gepackt wird, zeigen, dass Lazarus DTrack immer noch einen hohen Stellenwert einräumt. Trotzdem hat Lazarus seit 2019, als sie ursprünglich entdeckt wurde, nicht viel daran geändert. Allerdings zeigt die Analyse der Viktimologie, dass die Operationen auf Europa ausgeweitet wurden, ein Trend, den wir häufiger sehen.»