ESET Research entdeckt einen von Lazarus angeführten Angriff, der Whatsapp und Linkedin kapert, der auf Auftragnehmer auf der ganzen Welt in den Sektoren Luft- und Raumfahrt und Verteidigung abzielt.
• Während der jährlichen ESET World-Konferenz stellten ESET-Forscher eine neue Umfrage vor, die von der APT Lazarus Group durchgeführt wurde und sich an Verteidigungsunternehmen weltweit richtete. Diese Operation wurde zwischen Ende 2021 und März 2022 durchgeführt.
• ESET-Telemetrie ortet Ziele in Europa (Frankreich, Italien, Spanien, Deutschland, Tschechische Republik, Niederlande, Polen und Ukraine), dem Nahen Osten (Türkei, Katar) und Lateinamerika (Brasilien).
• Die APT-Gruppe nutzte Dienste wie LinkedIn und WhatsApp, um ihre gefälschten Rekrutierungskampagnen durchzuführen.
• Nach Angaben der US-Regierung ist Lazarus mit dem nordkoreanischen Regime verbunden.
Auf der jährlichen ESET World-Konferenz präsentierten ESET-Forscher eine neue Untersuchung der berüchtigten APT-Lazarus-Gruppe. Jean-Ian Boutin, Director of Threat Research bei ESET, stellte die zahlreichen Kampagnen vor, die die Lazarus-Gruppe zwischen Ende 2021 und März 2022 auf globaler Ebene gegen Rüstungsunternehmen durchführte.
Laut ESET-Telemetrie zielte Lazarus auf Unternehmen in Europa (Frankreich, Italien, Deutschland, Niederlande, Polen und Ukraine) und Lateinamerika (Brasilien).
Obwohl das Hauptziel dieser Operation die Cyberspionage war, versuchte die Gruppe auch, Geldsummen zu exfiltrieren (ohne Erfolg). „Die APT Lazarus-Gruppe war genial bei der Bereitstellung einer interessanten Reihe von Tools, darunter zum Beispiel eine Benutzermodus-Komponente, die in der Lage ist, einen anfälligen Dell-Treiber auszunutzen, um in den Kernel-Speicher zu schreiben. Diese fortschrittliche Technik wurde bei dem Versuch verwendet, die Überwachung von Sicherheitslösungen zu umgehen. erklärt Jean-Ian Boutin.
Bereits 2020 hatten ESET-Forscher eine Kampagne einer Untergruppe von Lazarus gegen europäische Luft-, Raumfahrt- und Verteidigungsunternehmen mit dem Namen „Operation In(ter)ception“ dokumentiert. Es zeichnete sich dadurch aus, dass soziale Netzwerke, insbesondere LinkedIn, genutzt wurden, um ein Vertrauensverhältnis zwischen dem Angreifer und einem Mitarbeiter aufzubauen, bevor ihm als Stellenbeschreibungen oder Bewerbungen getarnte Schadkomponenten zugesendet wurden. Ziel waren damals Unternehmen in Brasilien, Tschechien, Katar, der Türkei und der Ukraine.
ESET-Forscher gingen davon aus, dass sich die Aktion hauptsächlich an europäische Unternehmen richtete, aber indem sie eine Reihe von Lazarus-Untergruppen verfolgten, die ähnliche Kampagnen gegen Rüstungsunternehmen durchführten, stellten sie schnell fest, dass die Kampagne viel breiter angelegt war. Während die in den verschiedenen Kampagnen verwendete Malware unterschiedlich war, blieb der ursprüngliche Modus Operandi (M.O.) immer gleich: Ein gefälschter Personalvermittler kontaktierte einen Mitarbeiter über LinkedIn und schickte ihm schließlich schädliche Komponenten.
ESET-Forscher stellten auch die Wiederverwendung von Elementen aus legitimen Rekrutierungskampagnen fest, um ihren gefälschten Rekrutierungskampagnen mehr Glaubwürdigkeit zu verleihen, sowie die Nutzung von Diensten wie WhatsApp oder Slack.
Gefälschte Rekrutierungskampagne von Lazarus
Im Jahr 2021 klagte das US-Justizministerium drei Computerprogrammierer wegen Cyberangriffen an, während sie für das nordkoreanische Militär arbeiteten. Nach Angaben der US-Regierung gehörten sie zur Computereinheit des nordkoreanischen Militärs, die in der Gemeinde als Lazarus-Gruppe bekannt ist.
Zusammen mit der neuen Lazarus-Studie hielt ESET auf der Jahreskonferenz eine Präsentation zum Thema „Cyberwarfare Vergangenheit und Gegenwart in der Ukraine“. Robert Lipovský, Forscher bei ESET, untersuchte detailliert Russlands Cyberkrieg gegen die Ukraine, einschließlich des jüngsten Versuchs, sein Stromnetz mit Industrialer2 und verschiedenen Datenlöschangriffen zu stören.
Der kanadische Astronaut Chris Hadfield, ehemaliger Kommandant der Internationalen Raumstation und Schlüsselfigur der ESET-Kampagne „Progress Protected“, kam zu ESET Research bei ESET World und diskutierte mit ESET-CEO Richard Marko über die Feinheiten von Technologie, Wissenschaft und Leben.
Über ESET
Seit mehr als 30 Jahren entwickelt ESET® IT-Sicherheitssoftware und -dienste, um digitale Unternehmensressourcen, kritische Infrastrukturen und Verbraucher auf der ganzen Welt vor Cyber-Bedrohungen zu schützen. Wir schützen feste und mobile Endgeräte, kollaborative Tools und bieten Vorfallerkennung und -verarbeitung. Unsere weltweit etablierten F&E-Zentren sammeln und analysieren Cyber-Bedrohungen, um unsere Kunden und unsere digitale Welt zu schützen.
Comments