Lazarus-Hackergruppe gibt sich als Unternehmen Lockheed Martin aus

hacking-2903156_1920

Das Forschungsteam von Qualys gibt bekannt, eine neue Angriffsmasche der Lazarus-Gruppe identifiziert zu haben, die mit Phishing-Ködern auf den Verteidigungssektor abzielt.

Die APT-Gruppe (Hackergruppe mit Verbindungen zu Nordkorea) hat sich in ihrem jüngsten Angriff als Lockheed Martin ausgegeben – ein Unternehmen, das stark in den Bereichen Luftfahrt, Militärtechnologie, Verteidigungssysteme und Weltraumforschung tätig ist. Das Unternehmen erwirtschaftete im Jahr 2020 einen Umsatz von 65,4 Milliarden Dollar und beschäftigt weltweit rund 114.000 Mitarbeiter.

Die identifizierten Varianten zielen auf Stellenbewerber der Lockheed Martin Corporation ab. Diese Angriffsmasche ähnelt Angriffen, die bereits in der Vergangenheit beobachtet wurden. Bei diesen gab sich Lazarus als Verteidigungsunternehmen wie Northrop Grumman und BAE Systems mit offenen Stellenangeboten aus. Qualys bezeichnet diese Kampagne als „LOLZarus“, da in den beobachteten Beispielen verschiedene LOLbins verwendet wurden – einige davon sind die erste dokumentierte Verwendung des LOLbins durch einen bekannten Angreifer.

„Mit ausgefeilten Angriffen wie diesem können kriminelle Akteure schnell großflächigen Schaden verursachen“, sagt Jörg Vollmer von Qualys. „Sobald ein Mitarbeiter auf den Phishing-Angriff hereinfällt und eines der infizierten Dokumente öffnet, breitet sich die darin enthaltene Malware ungehindert im Unternehmensnetzwerk aus. Dadurch entstandener Schaden lässt sich häufig nicht mehr rückgängig machen. Der beste Schutz vor Schäden durch Ransomware besteht für Unternehmen in der Verfolgung eines präventiven Ansatzes in Verbindung mit entsprechender Cyberhygiene. Das umfasst den Vulnerability-Management-Prozess des Unternehmens mit einer genauen Verfolgung der Schwachstellenbehebung sowie die Sicherstellung der Einhaltung von Richtlinien. Idealerweise verwenden Unternehmen hierfür eine automatisierte Lösung, die Netzwerkkonfigurationen, Backups, Anwendungszugriff und Patches auf dem neuesten Stand hält. Ein durchgehender Schutz vor Angriffen von außen ist nur dann gewährleistet, wenn gute Cyberhygienepraktiken verfolgt und alle Assets im Unternehmensnetzwerk kontinuierlich in Echtzeit überwacht und verwaltet werden.“