Lazarus APT zielt mit neuer CookiePlus-Malware auf Nuklearorganisationen

Laufende „Lazarus“-Kampagne nutzt eine Reihe fortschrittlicher Schadprogramme

[datensicherheit.de, 30.12.2024] Die „Operation DreamJob“ der cyber-kriminellen „Lazarus“-Gruppe entwickelt sich nach Erkenntnissen des „Global Research and Analysis Team“ (GReAT) bei Kaspersky mit neuen ausgefeilten Taktiken weiter: Zu den jüngsten Opfern gehören demnach Mitarbeiter eines mit der Nuklearindustrie in Verbindung stehenden Unternehmens. „Sie wurden über drei kompromittierte Archivdateien infiziert, die den Anschein erwecken, als seien sie Tests zur Bewertung der Fähigkeiten von IT-Fachleuten.“ Diese laufende Kampagne nutze eine Reihe fortschrittlicher Schadprogramme, darunter eine neu entdeckte modulare sogenannte Backdoor, „CookiePlus“, welche als Open-Source-Plugin getarnt gewesen sei.

Aktueller Kaspersky-Bericht bietet neue Einblicke in jüngste Phase der „Lazarus“-Aktivitäten und enthüllt eine -Kampagne

GReAT von Kaspersky habe eine neue Kampagne entdeckte, welche mit der berüchtigten „Operation DreamJob“ in Verbindung stehe (auch bekannt als „DeathNote“) – ein Cluster wiederum, welcher mit der berüchtigten „Lazarus“-Gruppe in Verbindung stehe. Im Laufe der Jahre habe sich diese Kampagne erheblich weiterentwickelt und im Jahr 2019 mit Angriffen auf weltweite Unternehmen begonnen, „die mit ,Krypto-Währungen’ zu tun haben“.

Im Laufe des Jahres 2024 habe sich diese ausgeweitet und ziele nun auf IT- und Verteidigungsunternehmen in Europa, Lateinamerika, Südkorea und Afrika ab. Der aktuelle Kaspersky-Bericht, „Lazarus group evolves its infection chain with old and new malware“, biete neue Einblicke in die jüngste Phase ihrer Aktivitäten und enthülle eine Kampagne, welche auf Mitarbeiter desselben Unternehmens im Nuklearbereich in Brasilien sowie auf Mitarbeiter einer nicht identifizierten Branche in Vietnam abgezielt habe.

Im Laufe eines Monats mindestens zwei Mitarbeiter desselben Unternehmens von „Lazarus“ angegriffen

„Im Laufe eines Monats wurden mindestens zwei Mitarbeiter desselben Unternehmens von ,Lazarus’ angegriffen. Sie erhielten mehrere Archivdateien, die als Qualifikationsbeurteilungen für IT-Positionen bei bekannten Luftfahrt- und Verteidigungsunternehmen getarnt waren.“ „Lazarus“ habe das erste Archiv zunächst an die Hosts A und B innerhalb desselben Unternehmens übermittelt und nach einem Monat versucht, aggressivere Angriffe auf das erste Ziel durchzuführen. „Wahrscheinlich nutzten sie Job-Suchplattformen wie ,LinkedIn’, um die ersten Anweisungen zu übermitteln und Zugang zu den Zielpersonen zu erhalten.“

„Lazarus“ habe seine Verbreitungsmethoden weiterentwickelt und die Persistenz durch eine komplexe Infektionskette verbessert, an der verschiedene Arten von Malware beteiligt seien, „z.B. ein ,Downloader’, ein ,Loader’ und eine ,Backdoor’“. Sie starteten laut Kaspersky einen mehrstufigen Angriff, „bei dem sie trojanisierte VNC-Software, einen Remote-Desktop-Viewer für ,Windows’ und ein weiteres legitimes VNC-Tool zur Verbreitung von Malware verwendeten“.

„Lazarus“ hat unsichtbare plugin-basierte Hintertür eingesetzt: „CookiePlus“

„In der ersten Phase wurde eine trojanisierte ,AmazonVNC.exe’ entschlüsselt und ein ,Downloader’ namens ,Ranid Downloader’ ausgeführt, um interne Ressourcen der VNC-Datei zu extrahieren.“ Ein zweites Archiv habe eine bösartige Datei „vnclang.dll“ enthalten, welche die „MISTPEN“-Malware geladen habe, die dann wiederum weitere Nutzdaten abgerufen habe, darunter „RollMid“ und eine neue Variante von „LPEClient“.

Außerdem hätten sie eine unsichtbare plugin-basierte Hintertür eingesetzt, welche von den „GReAT“-Experten als „CookiePlus“ bezeichnet worden sei. „Sie war als ,ComparePlus’ getarnt, ein Open-Source-Plugin für ,Notepad++‘. Sobald die Malware eingerichtet ist, sammelt sie Systemdaten, einschließlich des Computernamens, der Prozess-ID und der Dateipfade, und lässt ihr Hauptmodul für eine bestimmte Zeit ,schlafen’.“ Außerdem passe sie ihren Ausführungszeitplan an, indem sie eine Konfigurationsdatei ändere.

Neue „Lazaruzs“-Malware kann Systemprozesse manipulieren

„Es bestehen erhebliche Risiken, einschließlich Datendiebstahl, da ,Operation DreamJob’ sensible Systeminformationen sammelt, die für Identitätsdiebstahl oder Spionage verwendet werden könnten“, kommentiert Sojun Ryu, GReAT-Sicherheitsexperte bei Kaspersky.. Die Fähigkeit dieser Malware, ihre Aktionen zu verzögern, ermögliche es ihr, sich der Entdeckung im Moment des Eindringens zu entziehen und länger auf dem System zu verbleiben.

„Indem sie bestimmte Ausführungszeiten festlegt, kann sie in Intervallen operieren, die möglicherweise nicht bemerkt werden.“ Darüber hinaus könne diese Malware Systemprozesse manipulieren, was ihre Entdeckung erschwere und möglicherweise zu weiteren Schäden oder zur Ausnutzung des Systems führe.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Vasily Berdnikov & Sojun Ryu, 19.12.2024
Lazarus group evolves its infection chain with old and new malware

SECURELIST by Kaspersky, Seongsu Park, 12.04.2023
Following the Lazarus group by tracking DeathNote campaign

github.com
pnedev / comparePlus

datensicherheit.de, 23.10.2024
Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome / Nach Kaspersky-Erkenntnissen konnte der Bedrohungsakteur eine aufwändige und glaubwürdige Fälschung eines „NFT Games“ zur Ausnutzung der Schwachstelle erstellen

datensicherheit.de, 26.01.2023
Harmony-Hack: FBI hat Lazarus im Verdacht / Hinter dem Cyber-Angriff auf die Krypto-Bridge Horizon im Juni 2022 soll die Lazarus-Gruppe (APT38) stecken

datensicherheit.de, 16.11.2022
Lazarus nutzt DTrack: APT-Akteur greift Unternehmen in Deutschland an / Backdoor-Angriffe mit DTrack auf zwei Unternehmen im Bereich der chemischen Verarbeitung und Fertigung identifiziert