Beobachtungen
Lazarus nutzt aktuell eine mutmaßliche 0-Day-Schwachstelle im Browser Chrome aus. Die Schwachstelle ermöglicht die Ausführung von Schadcode ohne dabei entdeckt zu werden. Die Gruppierung nimmt dabei gezielt Finanzdienstleister und Anbieter für Kryptowährungen ins Visier.
Methoden
In der ersten Phase installieren die Angreifer einen Remote-Access-Trojaner (RAT) mit dem Namen PondRAT und setzen diverse Tools, wie beispielweise Screenshotter, Keylogger, Browser Dumper oder Mimikatz, ein. Die erste Phase dient dabei hauptsächlich der Aufklärung (Reconnaissance). In der zweiten Phase wird PondRAT gelöscht und durch einen weiter entwickelten RAT mit dem Namen RemotePE ersetzt. RemotePE wird wahrscheinlich nur bei Hochwertzielen eingesetzt.
Attribution
Lazarus ist eine hochentwickelte Cybergruppierung, mit Bezügen zur nordkoreanischen Regierung. Die Gruppe existiert seit mindestens 2009 und gehört zu den aktivsten und gefährlichsten Akteuren im Bereich der Advanced Persistent Threats (APT) weltweit. Ihre Angriffe dienen nicht nur der Cyberspionage, sondern auch finanziell motivierten Cyberangriffen, was sie von den meisten anderen staatlich unterstützten Akteuren unterscheidet.
Empfehlungen
Die Webseite gbhackers stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher, die eigenen Systeme anhand der IOCs auf eine Betroffenheit zu überprüfen sowie die Handlungsempfehlungen von gbhackers umzusetzen.