Experten von Kaspersky haben entdeckt, dass Lazarus APT nukleare Organisationen mit einer neuen CookiePlus-Malware ins Visier nimmt. Die neue Backdoor ist als Fähigkeiten-Test für IT-Fachleute getarnt und enthält infizierte Archivdateien. Die mit mit Nordkorea verbündeten Hacker von Lazarus stecken auch hinter vielen Supply Chain-Angriffen („Lieferkettenangriff“).
Die Hauptoperation von Lazarus – „Operation DreamJob“ – entwickelt sich laut dem Global Research and Analysis Team (GReAT) von Kaspersky mit neuen, raffinierten Taktiken weiter, die seit mehr als fünf Jahren bestehen. Zu den neuesten Zielen gehören Mitarbeiter einer nuklearbezogenen Organisation, die über drei kompromittierte Archivdateien infiziert wurden, die als Fähigkeiten-Test für IT-Fachleute getarnt waren. Diese laufende Kampagne nutzt eine Reihe fortschrittlicher Malware, darunter ein neu entdecktes modulares Backdoor-Programm namens CookiePlus, das als Open-Source-Plugin getarnt war.
Nordkoreanische Kampagnen DreamJob und DeathNote
🔎 So läuft der Lazarus-Angriff auf die Mitarbeiter der nuklearen Organisation ab (Bild: Kaspersky).
Das GReAT-Team von Kaspersky entdeckte eine neue Kampagne, die mit der berüchtigten Operation DreamJob, auch bekannt als DeathNote, in Verbindung steht – einer Gruppe, die mit der notorischen Lazarus-Gruppe assoziiert wird. Diese Kampagne hat sich im Laufe der Jahre erheblich weiterentwickelt. Sie tauchte erstmals 2019 auf und zielte auf Kryptowährungsunternehmen weltweit ab. Im Jahr 2024 hat sie sich ausgeweitet und richtet sich gegen IT- und Verteidigungsunternehmen in Europa, Lateinamerika, Südkorea und Afrika. Der neueste Bericht von Kaspersky gibt neue Einblicke in eine aktuelle Phase ihrer Aktivitäten und zeigt, dass Mitarbeiter derselben nuklearbezogenen Organisation in Brasilien, sowie Mitarbeiter eines nicht näher benannten Sektors in Vietnam ins Visier genommen wurden.
Innerhalb eines Monats wurden mindestens zwei Mitarbeiter derselben Organisation von Lazarus angegriffen, wobei sie mehrere Archivdateien erhielten, die als Fähigkeiten-Test für IT-Stellen bei führenden Luft- und Raumfahrt- sowie Verteidigungsunternehmen getarnt waren. Lazarus lieferte zunächst das erste Archiv an die Hosts A und B innerhalb derselben Organisation und versuchte nach einem Monat aggressivere Angriffe auf das erste Ziel. Sie nutzten wahrscheinlich Plattformen wie LinkedIn, um die ersten Anweisungen zu geben und Zugang zu den Zielen zu erhalten.
Malware nutzt weiter bekannte Vorgehensweise
Lazarus hat seine Liefermethoden weiterentwickelt und die Persistenz durch eine komplexe Infektionskette verbessert, die verschiedene Arten von Malware umfasst, wie Downloader, Loader und Backdoor. Sie starteten einen mehrstufigen Angriff, bei dem trojanisierte VNC-Software, ein Remote-Desktop-Viewer für Windows, und ein weiteres legitimes VNC-Tool zur Malware-Bereitstellung verwendet wurden. Die erste Stufe beinhaltete ein trojanisiertes AmazonVNC.exe, das einen Downloader namens Ranid Downloader entschlüsselte und ausführte, um interne Ressourcen der VNC-Executable zu extrahieren. Ein zweites Archiv enthielt eine bösartige vnclang.dll, die die Malware MISTPEN lud und zusätzliche Nutzlasten wie RollMid und eine neue Variante von LPEClient abrief.
Plugin-basiertes Backdoor-Programm „CookiePlus“
Zusätzlich setzten sie ein bisher unbekanntes Plugin-basiertes Backdoor-Programm ein, das von GReAT-Experten CookiePlus genannt wurde. Es war als ComparePlus, ein Open-Source-Plugin für Notepad++, getarnt. Nach der Installation sammelt die Malware Systemdaten, einschließlich des Computernamens, der Prozess-ID und der Dateipfade, und versetzt ihr Hauptmodul in einen „Schlafzustand“ für eine bestimmte Zeit. Außerdem passt sie ihren Ausführungszeitplan durch Modifikation einer Konfigurationsdatei an.
„Es gibt erhebliche Risiken, einschließlich Datendiebstahls, da Operation DreamJob sensible Systeminformationen sammelt, die für Identitätsdiebstahl oder Spionage genutzt werden könnten. Die Fähigkeit der Malware, ihre Aktionen zu verzögern, ermöglicht es ihr, zum Zeitpunkt des Eindringens nicht entdeckt zu werden und länger auf dem System zu bleiben. Durch die Festlegung spezifischer Ausführungszeiten kann sie in Intervallen operieren, die möglicherweise unbemerkt bleiben. Darüber hinaus könnte die Malware Systemprozesse manipulieren, was ihre Erkennung erschwert und möglicherweise weiteren Schaden oder die Ausbeutung des Systems nach sich zieht“, kommentiert Sojun Ryu, Sicherheitsexperte im Global Research and Analysis Team von Kaspersky.
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/