[English]Die in Nordkorea angesiedelte staatlich Lazarus Hackergruppe fällt ja immer wieder durch Ransomware-Angriffe und Spionage auf. Nun hat Cisco Talos eine Angriffskampagne aufgedeckt, die sich auf Energieversorgungsunternehmen in Nordamerika richtete. Zudem ist es den US-Strafverfolgern gelungen, 30 Millionen US-Dollar Kryptogeld aus einem Angriff auf on Axie zu beschlagnahmen, dort hatten Hacker 600 Millionen US-Dollar erbeutet.
Anzeige
Lazarus-Angriffe per Log4j
Der zu Cisco gehörenden Sicherheitsfirma Talos ist es gelungen, eine neue Kampagne der staatlichen Lazarus APT-Gruppe zu verfolgen. Es handelt sich um eine staatlich gestützte Hackergruppe, die von der US-Regierung sowie vielen Sicherheitsfirrmen Nordkorea zugeschrieben wird. Ich bin über nachfolgenden Tweet auf den vor einigen Tage veröffentlichten Artikel Lazarus and the tale of three RATs mit Details gestoßen.
Die von der APT Lazarus Group zwischen Februar und Juli 2022 durchführte Kampagne nutzte Schwachstellen in VMWare Horizon aus, um in den Zielunternehmen Fuß zu fassen. Der ursprüngliche Vektor war die Ausnutzung der Log4j-Schwachstelle auf ungeschützten VMware Horizon-Servern. Über die Schwachstelle hatte ich ja mehrfach im Blog berichtet (siehe Links am Artikelende). Befragt man eine Suchmaschine wie Shodan nach aus dem Internet erreichbaren VMware-Installationen, sieht man ziemlich viel Rot (siehe folgende Abbildung).
Anzeige
Konnte über die Schwachstelle in Unternehmensnetzwerken Fuß gefasst werden, begann die Bereitstellung der von der Gruppe entwickelten Malware-Implantate VSingle und YamaBot. Zusätzlich zu diesen bekannten Malware-Familien haben die Sicherheitsforscher auch die Verwendung eines bisher unbekannten Malware-Implantats entdeckt, das sie "MagicRAT" nennen.
Lazarus-Angriffskette, Quelle: Talos
Diese Kampagne wurde bereits teilweise von anderen Sicherheitsfirmen aufgedeckt, aber Cisco Talos kann mehr Details über den Modus Operandi des Gegners enthüllen. Außerdem haben die Sicherheitsforscher Überschneidungen bei der Befehls- und Kontrollinfrastruktur (C2) und der Infrastruktur, die die Nutzlast beherbergt, zwischen eigenen Erkenntnissen und der Empfehlung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) vom Juni 2022 festgestellt. In den CISA-Empfehlungen ging es um die fortgesetzten Versuche von Bedrohungsakteuren, anfällige VMWare Horizon-Server zu kompromittieren.
Zu den Zielen gehören Energieversorger aus der ganzen Welt, darunter auch solche mit Hauptsitz in den Vereinigten Staaten, Kanada und Japan. Die Kampagne zielt darauf ab, Organisationen auf der ganzen Welt zu infiltrieren, um sich langfristig Zugang zu verschaffen und anschließend Daten zu exfiltrieren, die für den gegnerischen Nationalstaat von Interesse sind. Details lassen sich bei Interesse im Talos-Blog-Beitrag nachlesen.
30 Mio. $ Ransomware beschlagnahmt
Eines der Ziele der Lazarus APT-Gruppe besteht darin, über digitale Raubzüge Devisen für Nordkorea zu beschaffen. Im März 2022 wurden mehr als 600 Millionen Dollar aus dem Ronin Network gestohlen. Das Netzwerk gehört zum Play-to-Earn-Spiel Axie Infinity. Als Hintermänner wird die Lazarus-Gruppe vermutet.
Im Beitrag $30 Million Seized: How the Cryptocurrency Community Is Making It Difficult for North Korean Hackers To Profit berichten Sicherheitsforscher von Chainanalysis, wie es ihnen gelungen ist, mit Hilfe der Strafverfolgungsbehörden und führender Organisationen in der Kryptowährungsbranche einen Teil der geraubten Gelder zu beschlagnahmen. Konkret wurden Kryptowährungen im Wert von mehr als 30 Millionen US-Dollar beschlagnahmt, die von Hackern mit nordkoreanischen Verbindungen gestohlen wurden. Dies ist das erste Mal überhaupt, dass von einer nordkoreanischen Hackergruppe gestohlene Kryptowährung beschlagnahmt wurde, und die Sicherheitsforscher von Chainanalysis sind zuversichtlich, dass es nicht das letzte Mal sein wird. Details lassen sich in deren Artikel nachlesen.
Ähnliche Artikel:
0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter
Gegenmittel für 0-day CVE-2021-44228 in Java log4j-Bibliothek
log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht
log4j FAQ und Repository
Log4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht
Log4j-Sicherheits-Meldungen (28.12.2021)
Windows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme
RCE-Schwachstelle – ähnlich wie log4j – in H2 (Java) Datenbanksystem entdeckt
Angriffe auf VMWare Horizon-Server mit log4j-Schwachstelle
Log4J-Schwachstelle: Mittelstand schläft, DHS sieht Problem für Jahre
CISA-Warnung vor Log4Shell-Angriffen auf VMware Horizon-Systeme (Juni 2022)
Log4j in Embedded-Geräten (Connected Cars, Ladestationen etc.)
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht
Log4Shell: Eine Bestandsaufnahme (Feb.2022)
Anzeige
