Lazarus-Gruppe erweitert Funktionen seiner Kryptowährungs-Malware AppleJeus

Kaspersky-Experten identifizieren zweite Angriffswelle mit geänderten Taktiken und Verfahren.

Aktuelle Kaspersky-Untersuchungen zeigen, dass die hinter Lazarus stehenden Bedrohungsakteure ihre Angriffe mit großer Vorsicht unter Verwendung neuer Taktiken und Verfahren sowie durch die Nutzung des Messengers Telegram als neuen Angriffsvektor weiter fortsetzen. Bislang sind Opfer in Großbritannien, Polen, Russland und China von der Operation betroffen – darunter auch mehrere Unternehmen aus dem Bereich Kryptowährungen.

Die Lazarus-Gruppe ist einer der aktivsten und produktivsten Advanced Persistent Threat (APT)-Akteure, der eine Reihe von Kampagnen gegen mit Kryptowährungen in Verbindung stehende Organisationen durchgeführt hat. Während der ersten Operation „AppleJeus“ im Jahr 2018 hat die Lazarus-Gruppe eine fingierte Firma für Kryptowährungen gegründet, um auf diese Weise manipulierte Anwendungen auszuliefern und ein hohes Maß an Vertrauen bei potenziellen Opfern zu gewinnen. Dafür baute sie auch eine erste Malware für MacOS. Die Anwendung wurde von Nutzern auf den Webseiten Dritter heruntergeladen und die schädliche Payload verschleiert als reguläres Anwendungs-Update ausgeliefert. Die Payload ermöglichte es den Angreifern die volle Kontrolle über das Gerät des Nutzers zu erlangen und Kryptowährung zu stehlen.

Die Kaspersky-Forscher stellten bei der Folgeoperation signifikante Veränderungen in der Angriffstaktik der Gruppe fest: Der neue Angriffsvektor ahmte zwar den des Vorjahres nach, enthielt jedoch einige Optimierungen. Lazarus erstellte dieses Mal Fake-Websites mit Bezug zu Kryptowährungen, die Links zu Telegram-Kanälen gefälschter Unternehmen enthielten und verbreitete die Malware über diesen Messenger-Dienst.

Wie bei der ersten AppleJeus-Operation bestand der Angriff aus zwei Phasen. Die Nutzer luden zunächst eine Anwendung herunter, der zugehörige Downloader rief dann den nächsten Payload von einem Remoteserver ab, so dass der Angreifer das infizierte Gerät mittels einer permanenten Backdoor vollständig kontrollieren konnte. Dieses Mal wurde die schädliche Anwendung jedoch mit größerer Vorsicht ausgeliefert, um der Erkennung durch verhaltensbasierte Erkennungslösungen zu entgehen. Bei Angriffen auf macOS-basierte Ziele wurde ein Authentifizierungsmechanismus zum macOS-Downloader hinzugefügt und das Entwicklungsframework geändert. Des Weiteren kam eine dateilose Infektionstechnik zum Einsatz. Beim Angriff auf Windows-Nutzer vermieden die Angreifer – im Gegensatz zur ersten AppleJeus-Welle – den Einsatz von Fallchill-Malware. Sie erstellten eine neue Variante, die lediglich auf bestimmten Systemen nach Prüfung vorgegebener Werte aktiv wurde.

Kontinuierliche Weiterentwicklung der Malware

Lazarus hat darüber hinaus signifikante Änderungen in der MacOS-Malware vorgenommen und die Anzahl der Versionen erweitert. Im Gegensatz zu der vorherigen Attacke, bei der Lazarus den Open-Source QtBitcoinTrader nutzte, um einen kompletten MacOS-Installer zu bauen, kam im Rahmen der neuen AppleJeus-Angriffswelle ein selbstentwickelter Code zum Einsatz. Dies lässt den Schluss zu, dass die Lazarus-Gruppe weiterhin an Modifikationen der MacOS-Malware arbeitet, so dass die letzte Erkennung durch Kaspersky wahrscheinlich lediglich eine Momentaufnahme darstellt.

„Die neue AppleJeus-Operation zeigt, dass die Lazarus-Gruppe – trotz einer merklichen Stagnation auf den Märkten für Kryptowährungen – weiterhin in Angriffe dieser Art investiert und ihre Methoden verfeinert“, betont Seongsu Park, Sicherheitsforscher bei Kaspersky. „Anhaltende Änderungen und Diversifizierungen innerhalb ihrer Malware zeigen, dass es hinsichtlich eines Wachstums solcher Angriffe und der damit verbundenen Bedrohungslage keine Entwarnung gibt.“

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Operationen und Verbindungen nach Nordkorea, führt nicht nur Cyberspionage- und Cybersabotage-Angriffe durch, sondern auch finanziell motivierte Attacken. Eine Reihe von Forschern, darunter auch die von Kaspersky, haben bereits früher über diese Gruppe berichtet, deren Angriffe auf Banken und andere große Finanzunternehmen abzielen.

Kaspersky-Tipps für Unternehmen im Kryptowährungssektor

  • Einführung eines umfassenden Security-Awareness-Trainings wie Kaspersky Security Awareness für alle Mitarbeiter, damit diese Phishing-Versuche besser erkennen können.
  • Durchführung einer Sicherheitsbewertung vorhandener Anwendungen – auch um die Zuverlässigkeit des eigenen Unternehmens für potenzielle Investoren zu demonstrieren.
  • Überwachung aufkommender Schwachstellen innerhalb der Ausführungsprotokolle intelligenter Verträge.

Kaspersky-Tipps für kryptowährungsaffine Nutzer

  • Ausschließlich zuverlässige und bewährte Plattformen für Kryptowährungen nutzen.
  • Keine Links anklicken, die zu einer Online-Bank oder einem Web Wallet führen.
  • Eine zuverlässige Sicherheitslösung für einen umfassenden Schutz vor einer Vielzahl von Bedrohungen nutzen, wie beispielsweise Kaspersky Security Cloud

Der vollständige Bericht „Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware“ ist hier verfügbar.

Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware

Tipps