Lazarus-Gruppe
Die Lazarus Group ist eine vom nordkoreanischen Staat gesponserte Advanced Persistent Threat (APT)-Gruppe.
Der Ursprung der Lazarus-Gruppe
Die Lazarus-Gruppe ist seit etwa 2009 aktiv, wobei ihre erste größere Operation als "Operation Troy" bekannt ist. Sie ist für mehrere hochkarätige Cyberangriffe verantwortlich, darunter der Hack von Sony Pictures im Jahr 2014, der Raubüberfall auf die Bangladesh Bank im Jahr 2016 und der Angriff auf WannaCry ransomware im Jahr 2017.
Im Gegensatz zu vielen staatlich unterstützten Gruppen ist Lazarus stark finanziell motiviert und führt Banküberfälle und Kryptowährungsdiebstähle durch, um Nordkoreas Wirtschaft zu unterstützen.
Nach Angaben von MITRE überschneiden sich die Definitionen nordkoreanischer Bedrohungsgruppen oft erheblich. Einige Sicherheitsforscher kategorisieren alle vom nordkoreanischen Staat gesponserten Cyberaktivitäten unter dem Namen Lazarus-Gruppe, anstatt zwischen spezifischen Clustern oder Untergruppen wie Andariel, APT37, APT38 und Kimsuky zu unterscheiden.
Die Gruppe benutzte für den Sony-Hack den Namen Guardians of Peace, ist aber auch unter anderen Namen wie Hidden Cobra (vom US-Ministerium für Heimatschutz und dem FBI), ZINC, NICKEL ACADEMY, Diamond Sleet (von Microsoft) und Labyrinth Chollima (von Crowdstrike) bekannt.
Quelle der Zeitleiste: Trend Micro
Ziele
Lazarus' Ziele
Von Lazarus betroffene Länder
Die Aktivitäten der Gruppe wurden weltweit aufgespürt, mit bestätigten Aktivitäten in den Vereinigten Staaten, Südkorea, Indien, Bangladesch und der weiteren asiatisch-pazifischen Region. Sie haben auch Einrichtungen in Europa und im Nahen Osten ins Visier genommen. Lazarus ist dafür bekannt, dass er es auf Länder abgesehen hat, die in Wirtschaftssanktionen oder diplomatische Streitigkeiten mit Nordkorea verwickelt sind.
Zielbranchen der Lazarus-Gruppe
Das Zielprofil der Lazarus-Gruppe ist vielfältig und umfasst Regierungsbehörden, Finanzinstitute, Rüstungsunternehmen, Kryptowährungsbörsen und Medienunternehmen. Ihre Motive reichen von politischer Spionage bis hin zu finanziellem Diebstahl, wobei der Schwerpunkt auf Sektoren liegt, die entweder Geld für das nordkoreanische Regime generieren oder sensible Informationen liefern können.
Zielbranchen der Lazarus-Gruppe
Das Zielprofil der Lazarus-Gruppe ist vielfältig und umfasst Regierungsbehörden, Finanzinstitute, Rüstungsunternehmen, Kryptowährungsbörsen und Medienunternehmen. Ihre Motive reichen von politischer Spionage bis hin zu finanziellem Diebstahl, wobei der Schwerpunkt auf Sektoren liegt, die entweder Geld für das nordkoreanische Regime generieren oder sensible Informationen liefern können.
Lazarus' Opfer
Zu den bekannten Opfern gehören Sony Pictures (2014), die Bangladesh Bank (2016) und verschiedene Kryptowährungsbörsen. Durch ihre Aktivitäten im Finanzsektor, insbesondere durch den Einsatz von zerstörerischen malware und Raubüberfällen, haben sie Schäden in Millionenhöhe verursacht. Die Gruppe hat auch Cyberspionagekampagnen gegen südkoreanische Einrichtungen durchgeführt.
Angriffsmethode
Die Angriffsmethode der Lazarus-Gruppe
Lazarus nutzt häufig Spear-phishing Kampagnen, um sich einen ersten Zugang zu verschaffen. Dabei werden oft bösartige Anhänge oder Links verwendet, die benutzerdefinierte malware liefern.
Nachdem sie sich Zugang verschafft haben, setzen sie Tools wie Rootkits oder benutzerdefinierte malware ein, um ihre Rechte zu erweitern und tiefer in Netzwerke einzudringen.
Die Gruppe ist geschickt darin, Sicherheitsmaßnahmen zu umgehen, indem sie Techniken wie die Deaktivierung von Sicherheitssoftware, die Nutzung gestohlener Zertifikate oder die Ausnutzung von Zero-Day-Schwachstellen einsetzt.
Lazarus verwendet Keylogger, Tools zum Auslesen von Anmeldedaten und Exploits, um Anmeldedaten zu sammeln, wobei es oft auf Konten mit hohen Berechtigungen abzielt.
Sobald sie in ein System eingedrungen sind, führen sie eine Netzwerkerkundung durch, um kritische Systeme und Datenspeicher mithilfe von integrierten Befehlen und Tools wie PowerShell zu identifizieren.
Lazarus bewegt sich seitlich durch Netzwerke, indem es gültige Anmeldedaten, Remote-Desktop-Protokolle (RDP) oder Vertrauensbeziehungen zwischen Systemen ausnutzt.
Sensible Daten werden häufig über Tools wie File-Sharing-Dienste oder malware mit speziellen Exfiltrationsfunktionen gesammelt, die auf Finanzdaten, Kryptowährungs-Wallets und vertrauliche Dokumente abzielen.
Die Gruppe verwendet benutzerdefinierte Backdoors wie Manuscrypt und Destover, um Befehle aus der Ferne auszuführen und die Persistenz zu erhalten.
Die gestohlenen Daten werden über kompromittierte Webserver, FTP-Server oder verschlüsselte Kommunikationskanäle exfiltriert, um sicherzustellen, dass die Informationen ihre Befehls- und Kontrollinfrastruktur erreichen.
Bei Finanzgeschäften unterbricht Lazarus häufig die Systeme nach dem Diebstahl und verwischt seine Spuren mit dem Wischer malware . Sie waren an ransomware Kampagnen und Datenvernichtung beteiligt, was die Auswirkungen auf ihre Opfer noch verstärkt.
Erster Zugang
Lazarus nutzt häufig Spear-phishing Kampagnen, um sich einen ersten Zugang zu verschaffen. Dabei werden oft bösartige Anhänge oder Links verwendet, die benutzerdefinierte malware liefern.
Rechte-Eskalation
Nachdem sie sich Zugang verschafft haben, setzen sie Tools wie Rootkits oder benutzerdefinierte malware ein, um ihre Rechte zu erweitern und tiefer in Netzwerke einzudringen.
Verteidigung Umgehung
Die Gruppe ist geschickt darin, Sicherheitsmaßnahmen zu umgehen, indem sie Techniken wie die Deaktivierung von Sicherheitssoftware, die Nutzung gestohlener Zertifikate oder die Ausnutzung von Zero-Day-Schwachstellen einsetzt.
Zugang zu Anmeldeinformationen
Lazarus verwendet Keylogger, Tools zum Auslesen von Anmeldedaten und Exploits, um Anmeldedaten zu sammeln, wobei es oft auf Konten mit hohen Berechtigungen abzielt.
Entdeckung
Sobald sie in ein System eingedrungen sind, führen sie eine Netzwerkerkundung durch, um kritische Systeme und Datenspeicher mithilfe von integrierten Befehlen und Tools wie PowerShell zu identifizieren.
Seitliche Bewegung
Lazarus bewegt sich seitlich durch Netzwerke, indem es gültige Anmeldedaten, Remote-Desktop-Protokolle (RDP) oder Vertrauensbeziehungen zwischen Systemen ausnutzt.
Sammlung
Sensible Daten werden häufig über Tools wie File-Sharing-Dienste oder malware mit speziellen Exfiltrationsfunktionen gesammelt, die auf Finanzdaten, Kryptowährungs-Wallets und vertrauliche Dokumente abzielen.
Ausführung
Die Gruppe verwendet benutzerdefinierte Backdoors wie Manuscrypt und Destover, um Befehle aus der Ferne auszuführen und die Persistenz zu erhalten.
Exfiltration
Die gestohlenen Daten werden über kompromittierte Webserver, FTP-Server oder verschlüsselte Kommunikationskanäle exfiltriert, um sicherzustellen, dass die Informationen ihre Befehls- und Kontrollinfrastruktur erreichen.
Auswirkungen
Bei Finanzgeschäften unterbricht Lazarus häufig die Systeme nach dem Diebstahl und verwischt seine Spuren mit dem Wischer malware . Sie waren an ransomware Kampagnen und Datenvernichtung beteiligt, was die Auswirkungen auf ihre Opfer noch verstärkt.
MITRE ATT&CK Kartierung
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Plattform-Detektionen
Wie man Lazarus erkennt mit Vectra AI
Häufig gestellte Fragen
Wofür ist die Lazarus Group bekannt?
Die Lazarus Group ist für Cyberspionage und groß angelegte Finanzdiebstähle bekannt, darunter der Angriff auf Sony Pictures im Jahr 2014 und der Raubüberfall auf die Bangladesh Bank 2016.
Was ist die Motivation der Lazarus-Gruppe?
Ihre Aktivitäten werden von den Interessen des nordkoreanischen Staates bestimmt, darunter politische Vergeltung, Spionage und die Beschaffung finanzieller Mittel durch illegale Aktivitäten.
Wie erhält Lazarus den ersten Zugang zu den Zielsystemen?
Sie nutzen häufig Spear-phishing Kampagnen mit bösartigen Anhängen oder Links, um malware zu verbreiten.
Auf welche Sektoren zielt Lazarus in der Regel ab?
Lazarus zielt auf Finanzinstitute, Kryptowährungsbörsen, Medienunternehmen und Regierungsbehörden ab.
Welche malware Tools sind mit der Lazarus Group verbunden?
Sie werden mit Tools wie Manuscrypt, Destover und verschiedenen benutzerdefinierten Backdoors und Wipers in Verbindung gebracht.
Was macht es schwierig, die Lazarus-Gruppe aufzuspüren?
Lazarus verwendet fortschrittliche Techniken zur Umgehung der Verteidigung, wie z.B. die Deaktivierung von Sicherheitssoftware, die Verschleierung von malware und die Verwendung verschlüsselter Kommunikationskanäle.
Welche Rolle spielt Lazarus bei der Finanzkriminalität?
Die Gruppe stiehlt Geld von Banken und Kryptowährungsplattformen und führt ransomware und zerstörerische Angriffe durch, um Opfer zu erpressen.
Wie können Organisationen die Aktivitäten der Lazarus-Gruppe erkennen?
Unternehmen sollten auf bekannte TTPs achten, wie z. B. anormale Protokolle auf der Anwendungsebene, verdächtige Nutzung gültiger Konten und ungewöhnliche Aktivitäten beim Zugriff auf Anmeldeinformationen.
Was sind einige Abwehrmaßnahmen gegen die Lazarus-Gruppe?
Die Implementierung einer Multi-Faktor-Authentifizierung (MFA), eine starke Netzwerksegmentierung, das rechtzeitige Patchen von Schwachstellen und fortschrittliche Tools zur Erkennung von Bedrohungen können ihre Angriffe entschärfen.
War die Lazarus Group an Angriffen auf ransomware beteiligt?
Ja, sie haben ransomware in einigen ihrer Kampagnen eingesetzt, um den finanziellen Gewinn zu maximieren und die Operationen der Opfer zu stören.