No Comments

Nordkoreas Elite-Hacker zielen auf Sicherheitsunternehmen ab

 

Cyberkriminelle, die mit der nordkoreanischen Regierung verbunden sind, bekannt als Lazarus, eine der produktivsten Gruppen im Jahr 2020, sind gezielte Spionageangriffe auf Sicherheitsunternehmen seit Anfang dieses Jahres.

Laut Kaspersky-Forschern ist Lazarus eine Gruppe, die seit 2009 aktiv ist und bereits Kampagnen für Ransonware, Cyberspionage und Angriffe auf den Kryptowährungsmarkt organisiert hat. Seit Anfang dieses Jahres liegt der Schwerpunkt auf der Sicherheitsbranche.

Dies ist nicht das erste Mal, dass die Gruppe Angriffe auf die Branche des Sektors richtet. Mitte 2020 identifizierte Kaspersky die Gruppe mithilfe von Malware aus einer Familie, die das Unternehmen anruft ThreatNeedle, dieselbe Malware-Familie, die sie derzeit verwenden.

“Wir haben gesehen, wie Lazarus mit diesem Malware-Cluster verschiedene Branchen angegriffen hat. Mitte 2020 haben wir dies erkannt Lazarus startete mit dem ThreatNeedle-Cluster Angriffe auf die Verteidigungsindustrie, ein Cluster fortschrittlicher Manuscrypt-Malware (bekannt als NukeSped). Durch die Untersuchung dieser Aktivität konnten wir den gesamten Lebenszyklus eines Angriffs beobachten und mehr technische Details und Links zu anderen Gruppenkampagnen entdecken “, schreiben Seongsu Park und Vyacheslav Kopeytsev in einer am Donnerstag veröffentlichten Studie (25).

Angriffe gegen die Sicherheitsbranche

Die Forscher erklären, dass Finanzinstitute, insbesondere solche, die sich mit Kryptowährungen befassen, immer im Mittelpunkt von Lazarus standen. Jedoch, Seit Mitte 2020 greift die Gruppe Verteidigungs- und Sicherheitsunternehmen “aggressiv an”, hauptsächlich weil sie viele Regierungen und Armeen als Kunden haben.

“In dieser Kampagne hat die Lazarus-Gruppe gezeigt, wie ausgefeilt und in der Lage ist, die Sicherheitsmaßnahmen zu umgehen, denen sie während ihrer Angriffe ausgesetzt sind, z. B. die Netzwerksegmentierung. Lazarus ist eine sehr produktive GruppeDurchführung mehrerer Kampagnen mit unterschiedlichen Strategien. Sie haben Tools und Infrastruktur zwischen diesen Kampagnen geteilt, um ihre Ziele zu erreichen “, schreiben die Forscher.

Die Forscher glauben, dass der Fokus auf diese Unternehmen darauf abzielt, Daten von Armeen und Regierungen zu erhalten. da diese Unternehmen eine starke Datenbeziehung zu staatlichen Stellen haben.

ThreatNeedle-Strategie

Wie bei den meisten gezielten Angriffen verwenden Angreifer Phishing als anfänglicher Infektionsvektor. “Die Gruppe untersuchte die öffentlich verfügbaren Informationen über die Zielorganisation und identifizierte E-Mail-Adressen, die zu verschiedenen Abteilungen des Unternehmens gehören [para realizar os ataques]”, Sie schreiben.

Von Cyberkriminellen gesendete Phishing-E-Mails. Kaspersky, ein russisches Unternehmen, konnte feststellen, dass die E-Mail nicht von einem Muttersprachler geschrieben wurde und dass sie sicherlich mit Hilfe von Übersetzungstools geschrieben wurde. Foto: Kaspersky.
Von Cyberkriminellen gesendete Phishing-E-Mails. Kaspersky, ein russisches Unternehmen, konnte feststellen, dass die E-Mail nicht von einem Muttersprachler geschrieben wurde und dass sie sicherlich mit Hilfe von Übersetzungstools geschrieben wurde. Foto: Kaspersky.

Zusammen mit der Phishing-E-Mail, die behauptete zu haben dringende Updates zu COVID-19, Eine mit bösartigem Code infizierte DOCX-Datei wurde angehängt. “Ein Makro im Microsoft Word-Dokument enthielt schädlichen Code zum Herunterladen und Ausführen zusätzlicher schädlicher Software auf dem infizierten System.”

Die DOCX-Datei enthält ein Skript, das Installiert eine ThreatNeedle-Hintertür, die den Fernzugriff auf den Computer und die Daten des infizierten Opfers ermöglicht. Nach dieser ersten Hintertür beginnen Cyberkriminelle zusätzlich zur seitlichen Bewegung mit der Infektion mit anderen Arten von Malware.

“Dieses Installationsprogramm ist dafür verantwortlich, die Malware vom Loader-Typ der nächsten Stufe bereitzustellen und für die automatische Ausführung zu registrieren, um die Persistenz zu gewährleisten. Malware vom Typ ThreatNeedle Loader existiert in verschiedenen Varianten und dient hauptsächlich dem Laden der letzten Stufe der Malware ThreatNeedle in den Speicher.” , Sie schreiben.

Einmal Hintertür ist definitiv konfiguriertbeginnt die Gruppe den Prozess von seitliche Bewegung, bei Bedarf mehr Malware einfügen und Sammeln von Nachrichtendaten.


Quelle: Sicherheitsliste (Kaspersky).

See the original post at: https://thehack.com.br/hackers-de-elite-da-coreia-do-norte-miram-empresas-de-seguranca/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.