Lazarus-Gruppe nutzt Schwachstellen in südkoreanischen Unternehmen aus

SÜDKOREA / MÜNCHEN (IT BOLTWISE) – In einer jüngsten Cyber-Spionagekampagne hat die berüchtigte nordkoreanische Hackergruppe Lazarus mehrere Organisationen in Südkorea ins Visier genommen. Diese Angriffe richteten sich insbesondere gegen Unternehmen aus den Bereichen Software, IT, Finanzen und Telekommunikation.

Die Lazarus-Gruppe, bekannt für ihre ausgeklügelten Cyberangriffe, hat in einer neuen Kampagne namens ‘Operation SyncHole’ eine Kombination aus Watering-Hole-Angriffen und der Ausnutzung einer Schwachstelle in einem Dateitransfer-Client eingesetzt. Dieser Client ist in Südkorea notwendig, um bestimmte finanzielle und administrative Aufgaben zu erledigen. Laut den Forschern von Kaspersky wurden mindestens sechs Organisationen zwischen November 2024 und Februar 2025 kompromittiert. Die betroffenen Organisationen stammen aus den Bereichen Software, IT, Finanzwesen, Halbleiterfertigung und Telekommunikation. Kaspersky vermutet jedoch, dass noch viele weitere Organisationen betroffen sind, da die von Lazarus ausgenutzte Software in Südkorea weit verbreitet ist. Die Angriffe begannen, als die Ziele legitime südkoreanische Medienportale besuchten, die von Lazarus mit serverseitigen Skripten kompromittiert wurden. Diese Skripte profilierten die Besucher und leiteten gültige Ziele auf bösartige Domains um. In den von Kaspersky analysierten Vorfällen wurden die Opfer auf Websites umgeleitet, die Softwareanbieter nachahmen, wie den Distributor von Cross EX, einem Tool, das Südkoreanern die Nutzung von Sicherheitssoftware in verschiedenen Webbrowsern für Online-Banking und Interaktionen mit Regierungswebsites ermöglicht. Obwohl die genaue Methode, mit der Cross EX ausgenutzt wurde, um Malware zu liefern, unklar bleibt, vermuten die Forscher, dass die Angreifer während des Exploit-Prozesses ihre Privilegien eskalierten. Ein bösartiges JavaScript auf der gefälschten Website nutzte die Cross EX-Software aus, um Malware zu liefern. Der Exploit startete den legitimen ‘SyncHost.exe’-Prozess und injizierte Shellcode, um das ‘ThreatNeedle’-Backdoor zu laden, das 37 Befehle auf dem infizierten Host ausführen kann. Kaspersky beobachtete mehrere Infektionsketten bei den sechs bestätigten Opfern, die sich in den frühen und späten Phasen des Angriffs unterschieden, wobei nur die anfängliche Infektion der gemeinsame Nenner war. In der ersten Phase wurde ThreatNeedle verwendet, um ‘LPEClient’ für die Systemprofilierung, die Malware-Downloader ‘wAgent’ oder ‘Agamemnon’ und das Tool ‘Innorix Abuser’ für die seitliche Bewegung zu deployen. Kaspersky stellte fest, dass Innorix Abuser eine Schwachstelle in der Innorix Agent-Dateitransferlösung Version 9.2.18.496 ausnutzte, die in der neuesten Version der Software behoben wurde. In einigen Fällen wurde ThreatNeedle überhaupt nicht verwendet, stattdessen nutzte Lazarus das ‘SIGNBT’-Implantat, um das ‘Copperhedge’-Backdoor für interne Aufklärung zu deployen. Basierend auf den in den Operation SyncHole-Angriffen verwendeten Tools konnte Kaspersky die Kompromittierungen mit hoher Sicherheit der von der nordkoreanischen Regierung unterstützten Lazarus-Hackergruppe zuschreiben. Weitere Hinweise auf den Bedrohungsakteur waren die Arbeitszeiten und die offensichtliche Zeitzone sowie Techniken, Taktiken und Verfahren, die spezifisch für Lazarus sind. Kaspersky beobachtete, dass Lazarus sich in Richtung leichterer und modularer Tools bewegt, die sowohl unauffälliger als auch konfigurierbarer sind. Das Cybersicherheitsunternehmen hat seine Erkenntnisse an die Korea Internet & Security Agency (KrCERT/CC) weitergegeben und bestätigt, dass Patches für die in dieser Kampagne ausgenutzte Software veröffentlicht wurden. Während der Angriffsanalyse fanden Kaspersky-Forscher auch eine nicht ausgenutzte Zero-Day-Schwachstelle (KVE-2024-0014) in Innorix Agent-Versionen 9.2.18.001 bis 9.2.18.538, die willkürliche Dateidownloads ermöglichte. Die Forscher meldeten das Sicherheitsproblem verantwortungsvoll über die Korea Internet & Security Agency (KrCERT), und der Anbieter hat es in einem Update letzten Monat behoben.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!