Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. cybercriminels
    >
  2. Nation-Staat-Akteur

Lazarus-Gruppe

Die Lazarus Group ist eine vom nordkoreanischen Staat gesponserte Advanced Persistent Threat (APT)-Gruppe.

Von Lazarus verwendete TTPs erkennen
Ist Ihr Unternehmen vor Lazarus-Angriffen sicher?
Hintergrund und Ziele
TTPs
MITRE Kartierung
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing
HINTERGRUND
LÄNDER
INDUSTRIEN
VICTIMS

Der Ursprung der Lazarus-Gruppe

Die Lazarus-Gruppe ist seit etwa 2009 aktiv, wobei ihre erste größere Operation als "Operation Troy" bekannt ist. Sie ist für mehrere hochkarätige Cyberangriffe verantwortlich, darunter der Hack von Sony Pictures im Jahr 2014, der Raubüberfall auf die Bangladesh Bank im Jahr 2016 und der Angriff auf WannaCry ransomware im Jahr 2017.

Im Gegensatz zu vielen staatlich unterstützten Gruppen ist Lazarus stark finanziell motiviert und führt Banküberfälle und Kryptowährungsdiebstähle durch, um Nordkoreas Wirtschaft zu unterstützen.

Nach Angaben von MITRE überschneiden sich die Definitionen nordkoreanischer Bedrohungsgruppen oft erheblich. Einige Sicherheitsforscher kategorisieren alle vom nordkoreanischen Staat gesponserten Cyberaktivitäten unter dem Namen Lazarus-Gruppe, anstatt zwischen spezifischen Clustern oder Untergruppen wie Andariel, APT37, APT38 und Kimsuky zu unterscheiden.

Die Gruppe benutzte für den Sony-Hack den Namen Guardians of Peace, ist aber auch unter anderen Namen wie Hidden Cobra (vom US-Ministerium für Heimatschutz und dem FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (von Microsoft) und Labyrinth Chollima (von Crowdstrike) bekannt.

Quelle der Zeitleiste: Trend Micro

Von Lazarus betroffene Länder

Die Aktivitäten der Gruppe wurden weltweit aufgespürt, mit bestätigten Aktivitäten in den Vereinigten Staaten, Südkorea, Indien, Bangladesch und der weiteren asiatisch-pazifischen Region. Sie haben auch Einrichtungen in Europa und im Nahen Osten ins Visier genommen. Lazarus ist dafür bekannt, dass er es auf Länder abgesehen hat, die in Wirtschaftssanktionen oder diplomatische Streitigkeiten mit Nordkorea verwickelt sind.

Zielbranchen der Lazarus-Gruppe

Das Zielprofil der Lazarus-Gruppe ist vielfältig und umfasst Regierungsbehörden, Finanzinstitute, Rüstungsunternehmen, Kryptowährungsbörsen und Medienunternehmen. Ihre Motive reichen von politischer Spionage bis hin zu finanziellem Diebstahl, wobei der Schwerpunkt auf Sektoren liegt, die entweder Geld für das nordkoreanische Regime generieren oder sensible Informationen liefern können.

Lazarus' Opfer

Zu den bekannten Opfern gehören Sony Pictures (2014), die Bangladesh Bank (2016) und verschiedene Kryptowährungsbörsen. Durch ihre Aktivitäten im Finanzsektor, insbesondere durch den Einsatz von zerstörerischen malware und Raubüberfällen, haben sie Schäden in Millionenhöhe verursacht. Die Gruppe hat auch Cyberspionagekampagnen gegen südkoreanische Einrichtungen durchgeführt.

Angriffsmethode

Die Angriffsmethode der Lazarus-Gruppe

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Lazarus nutzt häufig Spear-phishing Kampagnen, um sich einen ersten Zugang zu verschaffen. Dabei werden oft bösartige Anhänge oder Links verwendet, die benutzerdefinierte malware liefern.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Nachdem sie sich Zugang verschafft haben, setzen sie Tools wie Rootkits oder benutzerdefinierte malware ein, um ihre Rechte zu erweitern und tiefer in Netzwerke einzudringen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe ist geschickt darin, Sicherheitsmaßnahmen zu umgehen, indem sie Techniken wie die Deaktivierung von Sicherheitssoftware, die Nutzung gestohlener Zertifikate oder die Ausnutzung von zero-day Schwachstellen einsetzt.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Lazarus verwendet Keylogger, Tools zum Auslesen von Anmeldedaten und Exploits, um Anmeldedaten zu sammeln, wobei es oft auf Konten mit hohen Berechtigungen abzielt.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Sobald sie in ein System eingedrungen sind, führen sie eine Netzwerkerkundung durch, um kritische Systeme und Datenspeicher mithilfe von integrierten Befehlen und Tools wie PowerShell zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Lazarus bewegt sich seitlich durch Netzwerke, indem es gültige Anmeldedaten, Remote-Desktop-Protokolle (RDP) oder Vertrauensbeziehungen zwischen Systemen ausnutzt.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sensible Daten werden häufig über Tools wie File-Sharing-Dienste oder malware mit speziellen Exfiltrationsfunktionen gesammelt, die auf Finanzdaten, Kryptowährungs-Wallets und vertrauliche Dokumente abzielen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die Gruppe verwendet benutzerdefinierte Backdoors wie Manuscrypt und Destover, um Befehle aus der Ferne auszuführen und die Persistenz zu erhalten.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die gestohlenen Daten werden über kompromittierte Webserver, FTP-Server oder verschlüsselte Kommunikationskanäle exfiltriert, um sicherzustellen, dass die Informationen ihre Befehls- und Kontrollinfrastruktur erreichen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Bei Finanzgeschäften unterbricht Lazarus häufig die Systeme nach dem Diebstahl und verwischt seine Spuren mit dem Wischer malware . Sie waren an ransomware Kampagnen und Datenvernichtung beteiligt, was die Auswirkungen auf ihre Opfer noch verstärkt.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Lazarus nutzt häufig Spear-phishing Kampagnen, um sich einen ersten Zugang zu verschaffen. Dabei werden oft bösartige Anhänge oder Links verwendet, die benutzerdefinierte malware liefern.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Nachdem sie sich Zugang verschafft haben, setzen sie Tools wie Rootkits oder benutzerdefinierte malware ein, um ihre Rechte zu erweitern und tiefer in Netzwerke einzudringen.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe ist geschickt darin, Sicherheitsmaßnahmen zu umgehen, indem sie Techniken wie die Deaktivierung von Sicherheitssoftware, die Nutzung gestohlener Zertifikate oder die Ausnutzung von zero-day Schwachstellen einsetzt.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Lazarus verwendet Keylogger, Tools zum Auslesen von Anmeldedaten und Exploits, um Anmeldedaten zu sammeln, wobei es oft auf Konten mit hohen Berechtigungen abzielt.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Sobald sie in ein System eingedrungen sind, führen sie eine Netzwerkerkundung durch, um kritische Systeme und Datenspeicher mithilfe von integrierten Befehlen und Tools wie PowerShell zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Lazarus bewegt sich seitlich durch Netzwerke, indem es gültige Anmeldedaten, Remote-Desktop-Protokolle (RDP) oder Vertrauensbeziehungen zwischen Systemen ausnutzt.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sensible Daten werden häufig über Tools wie File-Sharing-Dienste oder malware mit speziellen Exfiltrationsfunktionen gesammelt, die auf Finanzdaten, Kryptowährungs-Wallets und vertrauliche Dokumente abzielen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die Gruppe verwendet benutzerdefinierte Backdoors wie Manuscrypt und Destover, um Befehle aus der Ferne auszuführen und die Persistenz zu erhalten.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die gestohlenen Daten werden über kompromittierte Webserver, FTP-Server oder verschlüsselte Kommunikationskanäle exfiltriert, um sicherzustellen, dass die Informationen ihre Befehls- und Kontrollinfrastruktur erreichen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Bei Finanzgeschäften unterbricht Lazarus häufig die Systeme nach dem Diebstahl und verwischt seine Spuren mit dem Wischer malware . Sie waren an ransomware Kampagnen und Datenvernichtung beteiligt, was die Auswirkungen auf ihre Opfer noch verstärkt.

MITRE ATT&CK Kartierung

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Plattform-Detektionen

Wie man Lazarus erkennt mit Vectra AI

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Wofür ist die Lazarus Group bekannt?

Die Lazarus Group ist für Cyberspionage und groß angelegte Finanzdiebstähle bekannt, darunter der Angriff auf Sony Pictures im Jahr 2014 und der Raubüberfall auf die Bangladesh Bank 2016.

Was ist die Motivation der Lazarus-Gruppe?

Ihre Aktivitäten werden von den Interessen des nordkoreanischen Staates bestimmt, darunter politische Vergeltung, Spionage und die Beschaffung finanzieller Mittel durch illegale Aktivitäten.

Wie erhält Lazarus den ersten Zugang zu den Zielsystemen?

Sie nutzen häufig Spear-phishing Kampagnen mit bösartigen Anhängen oder Links, um malware zu verbreiten.

Auf welche Sektoren zielt Lazarus in der Regel ab?

Lazarus zielt auf Finanzinstitute, Kryptowährungsbörsen, Medienunternehmen und Regierungsbehörden ab.

Welche malware Tools sind mit der Lazarus Group verbunden?

Sie werden mit Tools wie Manuscrypt, Destover und verschiedenen benutzerdefinierten Backdoors und Wipers in Verbindung gebracht.

Was macht es schwierig, die Lazarus-Gruppe aufzuspüren?

Lazarus verwendet fortschrittliche Techniken zur Umgehung der Verteidigung, wie z.B. die Deaktivierung von Sicherheitssoftware, die Verschleierung von malware und die Verwendung verschlüsselter Kommunikationskanäle.

Welche Rolle spielt Lazarus bei der Finanzkriminalität?

Die Gruppe stiehlt Geld von Banken und Kryptowährungsplattformen und führt ransomware und zerstörerische Angriffe durch, um Opfer zu erpressen.

Wie können Organisationen die Aktivitäten der Lazarus-Gruppe erkennen?

Unternehmen sollten auf bekannte TTPs achten, wie z. B. anormale Protokolle auf der Anwendungsebene, verdächtige Nutzung gültiger Konten und ungewöhnliche Aktivitäten beim Zugriff auf Anmeldeinformationen.

Was sind einige Abwehrmaßnahmen gegen die Lazarus-Gruppe?

Die Implementierung einer Multi-Faktor-Authentifizierung (MFA), eine starke Netzwerksegmentierung, das rechtzeitige Patchen von Schwachstellen und fortschrittliche Tools zur Erkennung von Bedrohungen können ihre Angriffe entschärfen.

War die Lazarus Group an Angriffen auf ransomware beteiligt?

Ja, sie haben ransomware in einigen ihrer Kampagnen eingesetzt, um den finanziellen Gewinn zu maximieren und die Operationen der Opfer zu stören.

Ist Ihr Unternehmen vor Lazarus-Angriffen sicher?

Bewerten Sie Ihr Angriffsrisiko