Anchor Project bietet ein All-in-One-Angriffsframework, das entwickelt wurde, um Unternehmensumgebungen mit benutzerdefinierten und vorhandenen Tools anzugreifen. Während es den meisten nationalstaatlichen Hacker-Gruppen in erster Linie darum geht, einen dauerhaften Zugang für Spionage, Überwachung und Datenexfiltration zu schaffen, ist die Lazarus-Gruppe auch mit der Finanzierung des nordkoreanischen Regimes beauftragt, weshalb sie sich die TrickBot Anchor-Infektionen zunutze machen, um ihre Aktivitäten zu monetarisieren. Die zunehmende Komplexität der Trickbot-Tools und die speziellen Intentionen der Lazarus-Gruppe dürften letztlich der Grund für die Zusammenarbeit beider Akteure sein.
Anchor Project kombiniert eine Vielzahl von Tools, die es Angreifern ermöglichen, sensible Daten zu exfiltrieren und langfristige Persistenz zu schaffen – ein typisches Ziel von Nationalstaaten. Das Toolkit unterstützt ferner die Erstinstallation von Malware, wobei es jegliche Spuren verbirgt und eine Entdeckung der Infektion auf diese Weise erschwert. Damit ist „Anchor Project“ sowohl für nationalstaatliche Aktivitäten als auch typische Cyber-Raubüberfälle krimineller Gruppen gleichermaßen attraktiv. Als SentinelLabs bei der Untersuchung des Anchor Projects feststellte, dass Lazarus eine der wenigen Gruppen ist, die sowohl an der Datenexfiltration als auch am finanziellen Gewinn interessiert sind, hielt das Forscherteam sofort Ausschau nach einer möglichen Verbindung zwischen den beiden Gruppen und konnte alsbald feststellen, dass das zuvor mit Lazarus verknüpfte Tool „PowerRatankba“ tatsächlich bei einem infiziertem Anchor-Opfer auftauchte.
„Hackergruppen wie TrickBot, die ihre Cybercrime-Dienste unterschiedlichen Zielgruppen für verschiedenste Zwecke bereitstellen, sind immer auf der Suche nach neuen Märkten und Absatzmöglichkeiten, um ihre Malware-Kits zu verkaufen“, so Vitali Kremez von SentinelLabs. „Da nationalstaatliche Gruppen aber eher selten monetäre Ziele verfolgen, war es schon ungewöhnlich, dass TrickBot auch in diesem Bereich unterwegs ist. Dass wir TrickBot nun mit Lieferungen in Verbindung bringen konnten, die zuvor APT Malware-Toolkits von Lazarus zugeschrieben wurden, deutet auf eine Quantenverschiebung in der Welt der Cyberkriminalität hin.“
Weitere Informationen zu den Forschungsergebnissen rund um das Anchor Project bietet der neue SentinelLabs Threat Research Blog. Die Sicherheitstechnologien von SentinelOne bieten – anders als viele andere Next-Gen-Antivirus-Lösungen – wirksamen Schutz vor allen Techniken, die im Anchor Project verwendet werden,
Weitere Informationen zu SentinelLabs finden Sie unter https://labs.sentinelone.com/
Fachartikel
Warum ist Data Security Posture Management (DSPM) entscheidend?
CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle
Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten
Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet
2,3 Millionen Organisationen setzen auf DMARC-Compliance
Studien
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird
Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung
