Lazarus nutzt legitime Software zur Verbreitung von Malware

Das Global Research and Analysis Team (GReAT) von Kaspersky hat eine Reihe von Cybersicherheitsvorfällen identifiziert, bei denen die Opfer mittels legitimer Software infiziert worden sind, die für die Verschlüsselung von Onlinekommunikation über digitale Zertifikate entwickelt wurde. Obwohl die Schwachstellen gemeldet und Patches dafür bereitstehen, nutzen Organisationen weltweit weiterhin die schädliche Version der Software und öffnen somit der berüchtigten Lazarus-Gruppe Tür und Tor in ihr Netzwerk.

Raffiniertes Angriffsschema über Supply-Chain-Infektion legitimer Software

Die Angreifer gingen bei ihrer Operation sehr raffiniert vor. So setzten sie fortschrittliche Techniken ein, um sich einer Entdeckung zu entziehen. Zudem nutzten sie mit SIGNBT eine Malware zur Kontrolle der Opfer ein. Darüber hinaus kam das bekannte Tool LPEClient zum Einsatz, das zuvor schon bei Angriffen auf Verteidigungsunternehmen, Nuklearingenieure und im Krypto-Sektor eingesetzt wurde. Diese Malware dient als Initialvektor für die Infektion und ist entscheidend für die Erstellung von Opferprofilen und zur -Bereitstellung des Payloads. Die Erkenntnisse der Kaspersky-Experten deuten darauf hin, dass die Rolle von LPEClient bei diesem und anderen Angriffen mit den bisherigen Taktiken der Lazarus-Gruppe übereinstimmt, wie sie zum Beispiel auch beim berüchtigten 3CX-Supply-Chain-Angriff zu beobachten war.

Darüber hinaus zeigt die Analyse, dass das ursprüngliche Opfer – der Anbieter der legitimen Software – zuvor bereits mehrfach mit der Lazarus-Malware angegriffen wurde. Dieses Muster wiederkehrender Angriffe deutet auf einen hartnäckigen Akteur hin – wohl mit dem Ziel, kritischen Quellcode zu stehlen oder eine Software-Supply-Chain zu unterbrechen. Die Hintermänner der Kampagne nutzten die Software-Schwachstellen des Unternehmens konsequent aus und attackierten weitere Organisationen, die die ungepatchte Version der Software verwendeten.

Roger Homrich

Recent Posts

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

11 Stunden ago

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

13 Stunden ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

20 Stunden ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

1 Tag ago

Datengetriebene Geschäftsmodelle noch immer Mangelware

Ungeachtet dessen erwartet die Hälfte der deutschen Unternehmen eine Trendwende in den kommenden zwei Jahren.

2 Tagen ago

Analyse: Jeder fünfte Cyberangriff dauert länger als 30 Tage

Gleichzeitig glauben 40 Prozent der deutschen IT-Entscheider, dass ihre Teams Cybergefahren nicht richtig einschätzen können.

2 Tagen ago