Zum Hauptinhalt springen

Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an

23. September 2019

Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde.

Die Spyware ,Dtrack‘ stammt wohl von der Lazarus-Gruppe und wird zum Hoch- und Herunterladen von Dateien, zum Aufzeichnen von Tastenanschlägen und zum Ausführen weiterer Aktionen verwendet, die für ein böswilliges Remote Admin Tool (RAT) typisch sind.

Im Jahr 2018 entdeckten Kaspersky-Forscher die Malware ‚ATMDtrack‘, die Geldautomaten in Indien infiltrierte und Karteninformationen von Kunden stahl. Nach weiteren Untersuchungen mit der Kaspersky Attribution Engine und anderen Tools fanden die Forscher mehr als 180 neue Malware-Samples, deren Codesequenz Ähnlichkeiten mit ATMDtrack aufwies. Diese zielten jedoch nicht auf Geldautomaten ab. Stattdessen weisen die Funktionen der Dtrack-Malware sie als Spionagetool aus. Beide haben Gemeinsamkeiten mit der Kampagne DarkSeoul aus dem Jahr 2013, die Lazarus zugeschrieben wird. Bei Lazarus handelt es sich um eine berüchtigte Gruppe, die für mehrere Cyberspionage- und Cybersabotage-Operationen verantwortlich sein soll.

Dtrack nutzt Sicherheitsschwächen der Organisationen aus

Dtrack kann als Remote Admin Tool (RAT, Fernwartungstool) verwendet werden, mit dem Angreifer die vollständige Kontrolle über infizierte Geräte erlangen. Cyberkriminelle können damit verschiedene Vorgänge ausführen wie zum Beispiel das Hoch- und Herunterladen von Dateien und das Ausführen von Schlüsselprozessen.

Organisationen, die von Bedrohungsakteuren mit Dtrack RAT angegriffen werden, weisen häufig schwache Netzwerksicherheitsrichtlinien und Passwörter auf. Außerdem sind sie nicht in der Lage, den Datenverkehr im Unternehmen zu verfolgen. Bei erfolgreicher Implementierung kann die Spyware alle verfügbaren Dateien und ausgeführten Prozesse, die Tastaturanschläge, den Browserverlauf und die Host-IP-Adressen aufführen – einschließlich Informationen zu verfügbaren Netzwerken und aktiven Verbindungen.

Basierend auf den Daten der Kaspersky-Telemetrie ist die neu entdeckte Malware aktiv und wird noch für Cyberangriffe verwendet.

„Lazarus ist eine eher ungewöhnliche nationalstaatlich geförderte Gruppe“, erklärt Konstantin Zykov Sicherheitsforscher des Global Research und Analysis Team von Kaspersky. „Einerseits konzentriert sie sich wie viele ähnliche Gruppen auf die Durchführung von Cyberspionage- oder Sabotage-Operationen. Andererseits wurde auch festgestellt, dass sie Angriffe durchführt, die eindeutig darauf abzielen, Geld zu stehlen. Letzteres ist für einen so bekannten Bedrohungsakteur ziemlich einzigartig, da andere hochentwickelte Bedrohungsakteure im Allgemeinen keine finanziellen Beweggründe für ihre Operationen haben. Die zahlreichen Dtrack-Samples, die wir gefunden haben, zeigen, dass Lazarus eine der aktivsten APT-Gruppen ist, die ständig Bedrohungen entwickelt und weiterentwickelt, um große Industrien anzugreifen. Ihre erfolgreiche Ausführung von Dtrack RAT beweist, dass eine Bedrohung, auch wenn sie zu verschwinden scheint, in einer anderen Gestalt wieder auftauchen kann, um neue Ziele anzugreifen. Forschungszentrum oder Finanzorganisation, die ausschließlich im kommerziellen Bereich ohne staatliche Tochtergesellschaften tätig sind, sollten die Möglichkeit in Betracht ziehen, von einer hochentwickelten Bedrohung angegriffen zu werden und sich darauf vorbereiten.“

Kaspersky-Produkte erkennen und blockieren die Dtrack-Malware erfolgreich.

Kaspersky-Empfehlungen zum Schutz vor Malware wie Dtrack RAT

  • Eine Software zur Überwachung des Datenverkehrs wie Kaspersky Anti Targeted Attack Platform einsetzen.
  • Eine umfassende Sicherheitslösung mit verhaltensbasierten Erkennungstechnologien wie Kaspersky Endpoint Security for Business verwenden.
  • Regelmäßig Sicherheitsüberprüfungen der IT-Infrastruktur des Unternehmens durchführen.
  • Mitarbeiter in Sicherheitstrainings für den Umgang mit Bedrohungen sensibilisieren.

Weitere Informationen zu DTrach RAT finden sich unter https://securelist.com/my-name-is-dtrack/93338/

Nützliche Links:

Lazarus ist zurück: Spionage-Tool ‚Dtrack‘ greift Finanzinstitute und Forschungszentren an

Die Sicherheitsexperten von Kaspersky haben ein bislang unbekanntes Spionagetool entdeckt, das in indischen Finanzinstituten und Forschungszentren gefunden wurde.
Kaspersky logo

Über Kaspersky

Kaspersky ist ein internationales Unternehmen für Cybersicherheit und digitale Privatsphäre, das im Jahr 1997 gegründet wurde. Der Cybersicherheitsanbieter schützt über eine Milliarde Geräte vor Cyberbedrohungen und zielgerichteten Angriffen. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services sowie Cyber-Immune-Lösungen zur Verteidigung gegen komplexe und sich weiter entwickelnder Cyberbedrohungen. Über 200.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter kaspersky.de.

Verwandter Artikel Pressemitteilungen