Lazarus-Gruppe zielt mit CookiePlus-Malware auf Nuklearingenieure

SEOUL / MÜNCHEN (IT BOLTWISE) – Die berüchtigte Lazarus-Gruppe, die mit der Demokratischen Volksrepublik Korea in Verbindung gebracht wird, hat erneut zugeschlagen. Diesmal richtet sich ihr Fokus auf Nuklearingenieure, die mit einer komplexen Infektionskette und der neuen modularen Backdoor CookiePlus ins Visier genommen werden.

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Cyberangriffe, hat erneut zugeschlagen. Im Januar 2024 wurden mindestens zwei Mitarbeiter einer nicht näher benannten nuklearbezogenen Organisation Opfer einer komplexen Infektionskette. Diese Angriffe führten zur Einführung einer neuen modularen Backdoor namens CookiePlus. Diese Aktivitäten sind Teil einer langjährigen Cyber-Spionage-Kampagne, die als Operation Dream Job bekannt ist und von der Cybersicherheitsfirma Kaspersky auch als NukeSped verfolgt wird. Seit mindestens 2020 aktiv, zielt diese Kampagne darauf ab, Entwickler und Mitarbeiter in verschiedenen Branchen wie Verteidigung, Luft- und Raumfahrt sowie Kryptowährung mit verlockenden Jobangeboten zu ködern, die letztlich zur Installation von Malware auf ihren Rechnern führen.

Die Lazarus-Gruppe zeigt ein besonderes Interesse an Lieferkettenangriffen im Rahmen der DeathNote-Kampagne. Diese Angriffe erfolgen hauptsächlich auf zwei Arten: Zum einen durch das Versenden eines bösartigen Dokuments oder eines trojanisierten PDF-Viewers, der den Opfern maßgeschneiderte Jobbeschreibungen anzeigt. Zum anderen durch die Verteilung trojanisierter Fernzugriffstools wie VNC oder PuTTY, um die Opfer zu überzeugen, sich zu einem bestimmten Server für eine Kompetenzbewertung zu verbinden. Die neuesten Angriffe, die von Kaspersky dokumentiert wurden, umfassen die zweite Methode, bei der eine vollständig überarbeitete Infektionskette verwendet wird, um ein trojanisiertes VNC-Tool unter dem Vorwand einer Kompetenzbewertung für IT-Positionen bei führenden Luft- und Raumfahrt- und Verteidigungsunternehmen zu liefern.

Bereits im Oktober 2023 hatte Kaspersky in seinem APT-Trendbericht für das dritte Quartal 2023 auf die Verwendung von gefälschten VNC-Apps durch die Lazarus-Gruppe hingewiesen, um Nuklearingenieure anzugreifen. Die Forscher Vasily Berdnikov und Sojun Ryu berichteten, dass die Lazarus-Gruppe die erste Archivdatei an mindestens zwei Personen innerhalb derselben Organisation (wir nennen sie Host A und Host B) geliefert hat. Nach einem Monat wurden intensivere Angriffe gegen das erste Ziel unternommen. Die VNC-Apps, eine trojanisierte Version von TightVNC namens “AmazonVNC.exe”, wurden sowohl in Form von ISO-Images als auch ZIP-Dateien verteilt. In anderen Fällen wurde eine legitime Version von UltraVNC verwendet, um eine bösartige DLL innerhalb des ZIP-Archivs zu laden.

Die DLL (“vnclang.dll”) fungiert als Loader für eine Backdoor namens MISTPEN, die von der Google-eigenen Firma Mandiant im September 2024 entdeckt wurde. Diese Aktivitätsgruppe wird unter dem Namen UNC2970 verfolgt. MISTPEN wiederum liefert zwei zusätzliche Payloads mit den Codenamen RollMid und einer neuen Variante von LPEClient. Kaspersky beobachtete auch, dass die CookieTime-Malware auf Host A eingesetzt wurde, obwohl die genaue Methode, die dazu verwendet wurde, unbekannt bleibt. CookieTime wurde erstmals im September und November 2020 von Kaspersky entdeckt und ist bekannt für die Verwendung von codierten Cookie-Werten in HTTP-Anfragen, um Anweisungen von einem Command-and-Control-Server abzurufen.

Eine weitere Untersuchung der Angriffskette ergab, dass der Bedrohungsakteur lateral von Host A zu einem anderen Rechner (Host C) wechselte, wo CookieTime erneut verwendet wurde, um zwischen Februar und Juni 2024 verschiedene Payloads abzulegen. Dazu gehören LPEClient, eine Malware, die über Fähigkeiten zur Profilierung kompromittierter Hosts verfügt, ServiceChanger, eine Malware, die einen legitimen Dienst stoppt, um eine bösartige DLL innerhalb desselben Dienstes zu laden, und Charamel Loader, eine Loader-Malware, die interne Ressourcen wie CookieTime, CookiePlus und ForestTiger entschlüsselt und lädt.

CookiePlus, ein neues pluginbasiertes bösartiges Programm, wird sowohl von ServiceChanger als auch von Charamel Loader geladen. Der Unterschied zwischen jedem CookiePlus, das von Charamel Loader und von ServiceChanger geladen wird, liegt in der Art und Weise, wie es ausgeführt wird. Ersteres läuft als DLL allein und enthält die C2-Informationen im Ressourcenabschnitt, während letzteres das speichert, was in einer separaten externen Datei wie msado.inc gespeichert ist, was bedeutet, dass CookiePlus in der Lage ist, eine C2-Liste sowohl aus einer internen Ressource als auch aus einer externen Datei zu erhalten. Ansonsten bleibt das Verhalten gleich.

CookiePlus erhielt seinen Namen, weil es als Open-Source-Notepad++-Plugin namens ComparePlus getarnt war, als es erstmals in freier Wildbahn entdeckt wurde. Bei den Angriffen auf die nuklearbezogene Einrichtung wurde festgestellt, dass es auf einem anderen Projekt namens DirectX-Wrappers basiert. Die Malware dient als Downloader, um eine Base64-codierte, RSA-verschlüsselte Payload vom C2-Server abzurufen, die dann dekodiert und entschlüsselt wird, um drei verschiedene Shellcodes oder eine DLL auszuführen. Die Shellcodes sind mit Funktionen ausgestattet, um Systeminformationen zu sammeln und das Hauptmodul von CookiePlus für eine bestimmte Anzahl von Minuten schlafen zu legen.

Es wird vermutet, dass CookiePlus ein Nachfolger von MISTPEN ist, da es Verhaltensüberschneidungen zwischen den beiden Malware-Familien gibt, einschließlich des Aspekts, dass beide sich als Notepad++-Plugins tarnen. “Im Laufe seiner Geschichte hat die Lazarus-Gruppe nur eine kleine Anzahl modularer Malware-Frameworks wie Mata und Gopuram Loader verwendet”, sagte Kaspersky. “Die Tatsache, dass sie neue modulare Malware wie CookiePlus einführen, deutet darauf hin, dass die Gruppe ständig daran arbeitet, ihr Arsenal und ihre Infektionsketten zu verbessern, um der Erkennung durch Sicherheitsprodukte zu entgehen.”

Die Erkenntnisse kommen zu einem Zeitpunkt, an dem das Blockchain-Intelligence-Unternehmen Chainalysis enthüllt hat, dass mit Nordkorea verbundene Bedrohungsakteure im Jahr 2024 insgesamt 1,34 Milliarden US-Dollar durch 47 Kryptowährungs-Hacks gestohlen haben, gegenüber 660,50 Millionen US-Dollar im Jahr 2023. Dazu gehörte der Einbruch in die japanische Kryptowährungsbörse DMM Bitcoin im Mai 2024, bei dem ein Verlust von 305 Millionen US-Dollar entstand. “Leider scheint es, dass die Kryptoangriffe der DVRK häufiger werden”, sagte das Unternehmen. “Bemerkenswert ist, dass Angriffe zwischen 50 und 100 Millionen US-Dollar und solche über 100 Millionen US-Dollar im Jahr 2024 weitaus häufiger vorkamen als 2023, was darauf hindeutet, dass die DVRK bei massiven Exploits besser und schneller wird.”