Forscherteam SentinelLabs identifiziert eine der raffiniertesten Botnet-Gruppen in der Crimeware-Landschaft

Anchor Project bietet ein All-in-One-Angriffsframework, das entwickelt wurde, um Unternehmensumgebungen mit benutzerdefinierten und vorhandenen Tools anzugreifen. Während es den meisten nationalstaatlichen Hacker-Gruppen in erster Linie darum geht, einen dauerhaften Zugang für Spionage, Überwachung und Datenexfiltration zu schaffen, ist die Lazarus-Gruppe auch mit der Finanzierung des nordkoreanischen Regimes beauftragt, weshalb sie sich die TrickBot Anchor-Infektionen zunutze machen, um ihre Aktivitäten zu monetarisieren. Die zunehmende Komplexität der Trickbot-Tools und die speziellen Intentionen der Lazarus-Gruppe dürften letztlich der Grund für die Zusammenarbeit beider Akteure sein.

Anchor Project kombiniert eine Vielzahl von Tools, die es Angreifern ermöglichen, sensible Daten zu exfiltrieren und langfristige Persistenz zu schaffen – ein typisches Ziel von Nationalstaaten. Das Toolkit unterstützt ferner die Erstinstallation von Malware, wobei es jegliche Spuren verbirgt und eine Entdeckung der Infektion auf diese Weise erschwert. Damit ist „Anchor Project“ sowohl für nationalstaatliche Aktivitäten als auch typische Cyber-Raubüberfälle krimineller Gruppen gleichermaßen attraktiv. Als SentinelLabs bei der Untersuchung des Anchor Projects feststellte, dass Lazarus eine der wenigen Gruppen ist, die sowohl an der Datenexfiltration als auch am finanziellen Gewinn interessiert sind, hielt das Forscherteam sofort Ausschau nach einer möglichen Verbindung zwischen den beiden Gruppen und konnte alsbald feststellen, dass das zuvor mit Lazarus verknüpfte Tool „PowerRatankba“ tatsächlich bei einem infiziertem Anchor-Opfer auftauchte.

„Hackergruppen wie TrickBot, die ihre Cybercrime-Dienste unterschiedlichen Zielgruppen für verschiedenste Zwecke bereitstellen, sind immer auf der Suche nach neuen Märkten und Absatzmöglichkeiten, um ihre Malware-Kits zu verkaufen“, so Vitali Kremez von SentinelLabs. „Da nationalstaatliche Gruppen aber eher selten monetäre Ziele verfolgen, war es schon ungewöhnlich, dass TrickBot auch in diesem Bereich unterwegs ist. Dass wir TrickBot nun mit Lieferungen in Verbindung bringen konnten, die zuvor APT Malware-Toolkits von Lazarus zugeschrieben wurden, deutet auf eine Quantenverschiebung in der Welt der Cyberkriminalität hin.“

Weitere Informationen zu den Forschungsergebnissen rund um das Anchor Project bietet der neue SentinelLabs Threat Research Blog. Die Sicherheitstechnologien von SentinelOne bieten – anders als viele andere Next-Gen-Antivirus-Lösungen – wirksamen Schutz vor allen Techniken, die im Anchor Project verwendet werden,

Weitere Informationen zu SentinelLabs finden Sie unter https://labs.sentinelone.com/