Anchor Project bietet ein All-in-One-Angriffsframework, das entwickelt wurde, um Unternehmensumgebungen mit benutzerdefinierten und vorhandenen Tools anzugreifen. Während es den meisten nationalstaatlichen Hacker-Gruppen in erster Linie darum geht, einen dauerhaften Zugang für Spionage, Überwachung und Datenexfiltration zu schaffen, ist die Lazarus-Gruppe auch mit der Finanzierung des nordkoreanischen Regimes beauftragt, weshalb sie sich die TrickBot Anchor-Infektionen zunutze machen, um ihre Aktivitäten zu monetarisieren. Die zunehmende Komplexität der Trickbot-Tools und die speziellen Intentionen der Lazarus-Gruppe dürften letztlich der Grund für die Zusammenarbeit beider Akteure sein.
Anchor Project kombiniert eine Vielzahl von Tools, die es Angreifern ermöglichen, sensible Daten zu exfiltrieren und langfristige Persistenz zu schaffen – ein typisches Ziel von Nationalstaaten. Das Toolkit unterstützt ferner die Erstinstallation von Malware, wobei es jegliche Spuren verbirgt und eine Entdeckung der Infektion auf diese Weise erschwert. Damit ist „Anchor Project“ sowohl für nationalstaatliche Aktivitäten als auch typische Cyber-Raubüberfälle krimineller Gruppen gleichermaßen attraktiv. Als SentinelLabs bei der Untersuchung des Anchor Projects feststellte, dass Lazarus eine der wenigen Gruppen ist, die sowohl an der Datenexfiltration als auch am finanziellen Gewinn interessiert sind, hielt das Forscherteam sofort Ausschau nach einer möglichen Verbindung zwischen den beiden Gruppen und konnte alsbald feststellen, dass das zuvor mit Lazarus verknüpfte Tool „PowerRatankba“ tatsächlich bei einem infiziertem Anchor-Opfer auftauchte.
„Hackergruppen wie TrickBot, die ihre Cybercrime-Dienste unterschiedlichen Zielgruppen für verschiedenste Zwecke bereitstellen, sind immer auf der Suche nach neuen Märkten und Absatzmöglichkeiten, um ihre Malware-Kits zu verkaufen“, so Vitali Kremez von SentinelLabs. „Da nationalstaatliche Gruppen aber eher selten monetäre Ziele verfolgen, war es schon ungewöhnlich, dass TrickBot auch in diesem Bereich unterwegs ist. Dass wir TrickBot nun mit Lieferungen in Verbindung bringen konnten, die zuvor APT Malware-Toolkits von Lazarus zugeschrieben wurden, deutet auf eine Quantenverschiebung in der Welt der Cyberkriminalität hin.“
Weitere Informationen zu den Forschungsergebnissen rund um das Anchor Project bietet der neue SentinelLabs Threat Research Blog. Die Sicherheitstechnologien von SentinelOne bieten – anders als viele andere Next-Gen-Antivirus-Lösungen – wirksamen Schutz vor allen Techniken, die im Anchor Project verwendet werden,
Weitere Informationen zu SentinelLabs finden Sie unter https://labs.sentinelone.com/
Firma zum Thema
Fachartikel
Studien
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
Whitepaper
Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten
Deutsche Wirtschaft setzt auch auf Open Source
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren
