Die nordkoreanische Hackergruppe Lazarus hat erneut zugeschlagen und dieses Mal Ziele in Europa ins Visier genommen. Die Gruppe ist für ihre Cyberspionage-Aktivitäten bekannt und setzt dabei auf ausgeklügelte Angriffstechniken und hochentwickelte Malware. Ein Luft- und Raumfahrtexperte aus den Niederlanden gleichermaßen ein politischer Journalist aus Belgien wurden im Herbst 2021 Opfer einer Spearphishing-Kampagne die von Lazarus durch gefälschte Amazon-Stellenangebote initiiert wurde. Ziel der Angreifer war es; vertrauliche Daten zu stehlen und Spionageaktivitäten durchzuführen.
Malware-Verteilung durch gefälschte Amazon-Stellenangebote
Die Angreifer verschafften sich durch gefälschte Amazon-Stellenangebote per Email Zugang zu den Systemen ihrer Opfer. Sie nutzten eine ähnliche Methode um im Jahr 2021 eine Malware auf macOS-Geräte zu verteilen. Sobald das Opfer das enthaltene Dokument öffnete, startete im Hintergrund der Herunterladen von Malware-Loadern, Droppern oder Backdoors die den Angreifern Zugriff auf das infizierte System ermöglichten.
Lazarus Hacker setzen auf BYOVD-Technik
Eine neue Methode die von Lazarus bei dieser Kampagne eingesetzt wurde ist die Verwendung einer BYOVD-Technik (Bring Your Own Vulnerable Driver). Die Angreifer setzten an diesem Ortbei einen ungepatchten Dell-Hardwaretreiber ein der schon seit 12 Jahren existiert und folglich eine ideale Schwachstelle darstellte. Durch den Einsatz des Treibers konnten die Hacker den Kernel-Speicher des Betriebssystems manipulieren und so die Überwachungsmechanismen des Systems ausschalten. Dies machte es möglich – Sicherheitslösungen auf eine sehr generische und robuste Weise zu umgehen.
Lazarus setzt auf markenrechtlich geschützte Backdoor und trojanisierte Open-Source-Anwendungen
Neben dem Treiber von Dell setzte Lazarus ebenfalls andere Tools ein. Unter anderem eine markenrechtlich geschützte HTTP(S)-Backdoor die bereits im Jahr 2020 entdeckt wurde. Das Tool mit dem Namen "BLINDINGCAN" ermöglichte es den Angreifern, über eine Vielzahl von Befehlen Dateiaktionen durchzuführen, andere Befehle auszuführen und die C2-Kommunikation zu konfigurieren und Informationen auszulesen. Zusätzlich nutzte Lazarus einen HTTP(S)-Uploader um Daten sicher zu exfiltrieren, sowie verschiedene trojanisierte Open-Source-Anwendungen wie wolfSSL und FingerText.
Kommentare
Die Lazarus Hackergruppe ist eine Bedrohung für Europa und ihre ausgefeilten Angriffstechniken und Malware-Tools sind äußerst gefährlich. Unternehmen und Einzelpersonen sollten sich bewusst sein, dass die Gefahr von Spearphishing-Angriffen und Malware-Infektionen steigert ist. Essenziell bleibt Sicherheitsmaßnahmen zu ergreifen um sich vor solchen Angriffen zu schützen. Dazu gehört eine regelmäßige Überwachung der Systeme die Verwendung von Antivirus-Software und die Schulung von Mitarbeitern um sie für die Gefahr von Phishing-Attacken zu sensibilisieren.