Lazarus-Gruppe zielt mit neuen Taktiken auf neue Sektoren
Die berüchtigte nordkoreanische Bedrohungsgruppe Lazarus Group hat ihren Schwerpunkt verlagert und ihre Taktik im Rahmen einer Kampagne namens DeathNote aktualisiert, so das Cybersecurity-Unternehmen Kaspersky. Während die Gruppe vor allem für ihre Angriffe auf den Kryptowährungssektor bekannt ist, haben sich ihre jüngsten Angriffe auch auf den Automobil-, Hochschul- und Verteidigungssektor in Osteuropa und anderswo ausgeweitet.
Seongsu Park, ein Kaspersky-Forscher, erklärte, dass "zu diesem Zeitpunkt der Akteur alle Täuschungsdokumente auf Stellenbeschreibungen von Verteidigungsunternehmen und diplomatischen Diensten umstellte".
Der DeathNote-Cluster ist auch unter dem Namen Operation Dream Job oder NukeSped bekannt und wurde von anderen Unternehmen aufgespürt, darunter das Google-eigene Unternehmen Mandiant. Die Phishing-Angriffe verwenden in der Regel Bitcoin-Köder, um potenzielle Opfer dazu zu bringen, mit Makros versehene Dokumente zu öffnen, die dann die Backdoor von Manuscrypt (auch bekannt als NukeSped) auf dem kompromittierten Computer ablegen.
Kaspersky stellte außerdem fest, dass die Lazarus-Gruppe eine trojanisierte Version eines legitimen PDF-Readers namens SumatraPDF Reader eingesetzt hat, um ihre bösartige Routine zu starten. Die Verwendung von gefälschten PDF-Readern durch die Gruppe wurde bereits von Microsoft aufgedeckt.
Kaspersky gab an, im März 2022 einen weiteren Angriff entdeckt zu haben, der auf Opfer in Südkorea abzielte. Dabei wurde Sicherheitssoftware ausgenutzt, um Downloader-Malware auszuliefern, die eine Backdoor verbreiten und Informationen stehlen konnte. Darüber hinaus gelang es der Gruppe, ein Verteidigungsunternehmen in Lateinamerika zu kompromittieren, indem sie DLL-Side-Loading-Techniken einsetzte, nachdem das Opfer eine trojanisierte PDF-Datei geöffnet hatte.
Einem Bericht von Kaspersky zufolge hat Lazarus bei seinen jüngsten Cyberangriffen auch die Automobilindustrie und den akademischen Sektor ins Visier genommen. Dem Bericht zufolge sind diese Angriffe Teil einer größeren Kampagne der Gruppe gegen die Verteidigungsindustrie.
Kaspersky deckte auf, dass die Gruppe BLINDINGCAN (auch bekannt als AIRDRY oder ZetaNile) und COPPERHEDGE-Implantate einsetzte, um diese Angriffe auszuführen. In einem Fall verwendete die Gruppe eine trojanisierte Version eines legitimen PDF-Readers namens SumatraPDF Reader, um ihre bösartige Routine zu starten. Microsoft hatte zuvor aufgedeckt, dass die Gruppe gefälschte PDF-Reader-Apps verwendet.
Zu den Zielen dieser Angriffe gehörten ein in Lettland ansässiger Anbieter von Lösungen zur Überwachung von IT-Anlagen und ein Think Tank in Südkorea. Die Gruppe missbrauchte auch legitime Sicherheitssoftware, die in Südkorea weit verbreitet ist, um die Nutzdaten auszuführen.
Kaspersky entdeckte im März 2022 einen weiteren Angriff auf mehrere Opfer in Südkorea, bei dem dieselbe Sicherheitssoftware ausgenutzt wurde, um Downloader-Malware zu verbreiten, die eine Backdoor und einen Informationsdiebstahl zum Abgreifen von Tastenanschlag- und Zwischenablage-Daten ermöglicht.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.