{"id":272738,"date":"2022-09-11T14:05:55","date_gmt":"2022-09-11T12:05:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272738"},"modified":"2022-10-27T01:57:21","modified_gmt":"2022-10-26T23:57:21","slug":"lazarus-hacker-angriffe-auf-energieversorger-per-log4j-schwachstelle-30-mio-ransomware-beschlagnahmt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/11\/lazarus-hacker-angriffe-auf-energieversorger-per-log4j-schwachstelle-30-mio-ransomware-beschlagnahmt\/","title":{"rendered":"Lazarus-Hacker-Angriffe auf Energieversorger per Log4j-Schwachstelle, 30 Mio. $ Ransomware beschlagnahmt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die in Nordkorea angesiedelte staatlich Lazarus Hackergruppe f\u00e4llt ja immer wieder durch Ransomware-Angriffe und Spionage auf. Nun hat Cisco Talos eine Angriffskampagne aufgedeckt, die sich auf Energieversorgungsunternehmen in Nordamerika richtete. Zudem ist es den US-Strafverfolgern gelungen, 30 Millionen US-Dollar Kryptogeld aus einem Angriff auf on Axie zu beschlagnahmen, dort hatten Hacker 600 Millionen US-Dollar erbeutet.<\/p>\n

<\/p>\n

Lazarus-Angriffe per Log4j<\/h2>\n

\"\"Der zu Cisco geh\u00f6renden Sicherheitsfirma Talos ist es gelungen, eine neue Kampagne der staatlichen Lazarus APT-Gruppe zu verfolgen. Es handelt sich um eine staatlich gest\u00fctzte Hackergruppe, die von der US-Regierung sowie vielen Sicherheitsfirrmen Nordkorea zugeschrieben\u00a0 wird. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den vor einigen Tage ver\u00f6ffentlichten Artikel Lazarus and the tale of three RATs<\/a> mit Details gesto\u00dfen.<\/p>\n

\"Lazarus<\/a><\/p>\n

Die von der APT Lazarus Group zwischen Februar und Juli 2022 durchf\u00fchrte Kampagne nutzte Schwachstellen in VMWare Horizon aus, um in den Zielunternehmen Fu\u00df zu fassen. Der urspr\u00fcngliche Vektor war die Ausnutzung der Log4j-Schwachstelle auf ungesch\u00fctzten VMware Horizon-Servern. \u00dcber die Schwachstelle hatte ich ja mehrfach im Blog berichtet (siehe Links am Artikelende). Befragt man eine Suchmaschine wie Shodan nach aus dem Internet erreichbaren VMware-Installationen, sieht man ziemlich viel Rot (siehe folgende Abbildung).<\/p>\n

\"Shodan<\/p>\n

Konnte \u00fcber die Schwachstelle in Unternehmensnetzwerken Fu\u00df gefasst werden, begann die Bereitstellung der von der Gruppe entwickelten Malware-Implantate VSingle und YamaBot. Zus\u00e4tzlich zu diesen bekannten Malware-Familien haben die Sicherheitsforscher auch die Verwendung eines bisher unbekannten Malware-Implantats entdeckt, das sie \"MagicRAT\" nennen.<\/p>\n

\"Lazarus
\nLazarus-Angriffskette, Quelle: Talos<\/p>\n

Diese Kampagne wurde bereits teilweise von anderen Sicherheitsfirmen aufgedeckt, aber Cisco Talos kann mehr Details \u00fcber den Modus Operandi des Gegners enth\u00fcllen. Au\u00dferdem haben die Sicherheitsforscher \u00dcberschneidungen bei der Befehls- und Kontrollinfrastruktur (C2) und der Infrastruktur, die die Nutzlast beherbergt, zwischen eigenen Erkenntnissen und der Empfehlung der US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) vom Juni 2022 festgestellt. In den CISA-Empfehlungen ging es um die fortgesetzten Versuche von Bedrohungsakteuren, anf\u00e4llige VMWare Horizon-Server zu kompromittieren.<\/p>\n

Zu den Zielen geh\u00f6ren Energieversorger aus der ganzen Welt, darunter auch solche mit Hauptsitz in den Vereinigten Staaten, Kanada und Japan. Die Kampagne zielt darauf ab, Organisationen auf der ganzen Welt zu infiltrieren, um sich langfristig Zugang zu verschaffen und anschlie\u00dfend Daten zu exfiltrieren, die f\u00fcr den gegnerischen Nationalstaat von Interesse sind. Details lassen sich bei Interesse im Talos-Blog-Beitrag nachlesen.<\/p>\n

30 Mio. $ Ransomware beschlagnahmt<\/h2>\n

Eines der Ziele der Lazarus APT-Gruppe besteht darin, \u00fcber digitale Raubz\u00fcge Devisen f\u00fcr Nordkorea zu beschaffen. Im M\u00e4rz 2022 wurden\u00a0 mehr als 600 Millionen Dollar aus dem Ronin Network gestohlen. Das Netzwerk geh\u00f6rt zum Play-to-Earn-Spiel Axie Infinity. Als Hinterm\u00e4nner wird die Lazarus-Gruppe vermutet.<\/p>\n

Im Beitrag $30 Million Seized: How the Cryptocurrency Community Is Making It Difficult for North Korean Hackers To Profit<\/a> berichten Sicherheitsforscher von Chainanalysis, wie es ihnen gelungen ist, mit Hilfe der Strafverfolgungsbeh\u00f6rden und f\u00fchrender Organisationen in der Kryptow\u00e4hrungsbranche einen Teil der geraubten Gelder zu beschlagnahmen. Konkret wurden Kryptow\u00e4hrungen im Wert von mehr als 30 Millionen US-Dollar beschlagnahmt, die von Hackern mit nordkoreanischen Verbindungen gestohlen wurden. Dies ist das erste Mal \u00fcberhaupt, dass von einer nordkoreanischen Hackergruppe gestohlene Kryptow\u00e4hrung beschlagnahmt wurde, und die Sicherheitsforscher von Chainanalysis sind zuversichtlich, dass es nicht das letzte Mal sein wird. Details lassen sich in deren Artikel nachlesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\n0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a>
\nGegenmittel f\u00fcr 0-day CVE-2021-44228 in Java log4j-Bibliothek<\/a>
\nlog4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen<\/a>
\nVMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a>
\nlog4j FAQ und Repository<\/a>
\nLog4j-News: New Schwachstelle, Bundesfinanzhof-Webseite down, viele Firmen ungepatcht<\/a>
\nLog4j-Sicherheits-Meldungen (28.12.2021)<\/a>
\nWindows Defender: Fixes, Probleme und Log4j-Scanner-Fehlalarme<\/a>
\nRCE-Schwachstelle \u2013 \u00e4hnlich wie log4j \u2013 in H2 (Java) Datenbanksystem entdeckt<\/a>
\nAngriffe auf VMWare Horizon-Server mit log4j-Schwachstelle<\/a>
\nLog4J-Schwachstelle: Mittelstand schl\u00e4ft, DHS sieht Problem f\u00fcr Jahre<\/a>
\nCISA-Warnung vor Log4Shell-Angriffen auf VMware Horizon-Systeme (Juni 2022)<\/a>
\nLog4j in Embedded-Ger\u00e4ten (Connected Cars, Ladestationen etc.)<\/a>
\nVMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht<\/a>
\nLog4Shell: Eine Bestandsaufnahme (Feb.2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die in Nordkorea angesiedelte staatlich Lazarus Hackergruppe f\u00e4llt ja immer wieder durch Ransomware-Angriffe und Spionage auf. Nun hat Cisco Talos eine Angriffskampagne aufgedeckt, die sich auf Energieversorgungsunternehmen in Nordamerika richtete. Zudem ist es den US-Strafverfolgern gelungen, 30 Millionen US-Dollar Kryptogeld … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-272738","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272738","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272738"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272738\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272738"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272738"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272738"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}