Lazarus-Gruppe nutzt Zero-Day-Schwachstellen für Angriffe auf südkoreanische Unternehmen

SEOUL / MÜNCHEN (IT BOLTWISE) – Die berüchtigte Lazarus-Gruppe, die mit Nordkorea in Verbindung gebracht wird, hat erneut zugeschlagen und mindestens sechs südkoreanische Unternehmen ins Visier genommen. Diese Angriffe, die als Operation SyncHole bekannt sind, zeigen die ausgeklügelten Methoden der Gruppe, die sich auf Schwachstellen in lokaler Software konzentrieren.

Die Lazarus-Gruppe, bekannt für ihre raffinierten Cyberangriffe, hat erneut zugeschlagen und mindestens sechs südkoreanische Unternehmen ins Visier genommen. Diese Angriffe, die als Operation SyncHole bekannt sind, zeigen die ausgeklügelten Methoden der Gruppe, die sich auf Schwachstellen in lokaler Software konzentrieren. Laut einem Bericht von Kaspersky, der heute veröffentlicht wurde, wurden die ersten Anzeichen eines Kompromisses bereits im November 2024 entdeckt.

Die Angriffe zielten auf die Software-, IT-, Finanz-, Halbleiter- und Telekommunikationsindustrie in Südkorea ab. Besonders bemerkenswert ist die Nutzung einer Zero-Day-Schwachstelle in der Innorix-Agent-Software, die für die seitliche Bewegung innerhalb der Netzwerke der Opfer verwendet wurde. Diese Schwachstelle wurde von der Lazarus-Gruppe geschickt ausgenutzt, um bekannte Malware-Varianten wie ThreatNeedle, AGAMEMNON, wAgent, SIGNBT und COPPERHEDGE zu verbreiten.

Ein weiteres bemerkenswertes Element der Angriffe ist die Ausnutzung einer Sicherheitslücke in der weit verbreiteten Software Cross EX, die in Südkorea häufig für Online-Banking und Regierungswebsites verwendet wird. Diese Software ermöglicht die Nutzung von Sicherheitssoftware zur Unterstützung von Anti-Keylogging und zertifikatsbasierten digitalen Signaturen. Die Lazarus-Gruppe zeigt ein tiefes Verständnis für diese spezifischen Technologien und kombiniert Schwachstellen in solcher Software mit Watering-Hole-Angriffen.

Die Angriffe begannen mit einem Watering-Hole-Angriff, bei dem die Zielpersonen auf südkoreanische Online-Medienseiten gelockt wurden. Besucher dieser Seiten wurden durch ein serverseitiges Skript gefiltert und anschließend auf eine von den Angreifern kontrollierte Domain umgeleitet, um die Malware zu verbreiten. Die Forscher von Kaspersky schätzen mit mittlerer Sicherheit, dass die umgeleitete Seite ein bösartiges Skript ausführte, das eine potenzielle Schwachstelle in Cross EX ausnutzte und Malware startete.

Der Infektionsablauf erfolgte in zwei Phasen: In der ersten Phase wurden ThreatNeedle und wAgent eingesetzt, gefolgt von SIGNBT und COPPERHEDGE, um Persistenz zu etablieren, Aufklärung durchzuführen und Werkzeuge zur Anmeldeinformationsbeschaffung auf den kompromittierten Hosts bereitzustellen. Zusätzlich wurden Malware-Familien wie LPEClient für die Opferprofilierung und die Bereitstellung von Nutzlasten eingesetzt, sowie ein Downloader namens Agamemnon, der zusätzliche Nutzlasten vom Command-and-Control-Server herunterlädt und ausführt.

Ein von Agamemnon heruntergeladenes Payload-Tool wurde speziell entwickelt, um seitliche Bewegungen durch die Ausnutzung einer Sicherheitslücke im Innorix-Agent-Dateiübertragungstool durchzuführen. Kaspersky entdeckte bei seiner Untersuchung eine zusätzliche Zero-Day-Schwachstelle für den willkürlichen Dateidownload in Innorix Agent, die inzwischen von den Entwicklern gepatcht wurde.

Die spezialisierten Angriffe der Lazarus-Gruppe auf Lieferketten in Südkorea werden voraussichtlich in Zukunft fortgesetzt. Die Angreifer bemühen sich auch, die Erkennung zu minimieren, indem sie neue Malware entwickeln oder bestehende Malware verbessern. Insbesondere führen sie Verbesserungen in der Kommunikation mit dem Command-and-Control-Server, der Befehlsstruktur und der Art und Weise ein, wie sie Daten senden und empfangen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!