Nuklearunternehmen im Visier von Lazarus
Die APT-Gruppe Lazarus hat im Zuge ihrer „Operation DreamJob“ eine raffinierte Kampagne initiiert, die gezielt Mitarbeiter einer Einrichtung aus dem Bereich der Nukleartechnik ins Visier nahm. In einem besonders ausgeklügelten Täuschungsmanöver tarnte die Gruppe eine neuartige modulare Schadsoftware namens „CookiePlus“ als vermeintlich harmloses Open-Source-Plugin.
Das Global Research and Analysis Team von Kaspersky hat eine neue Kampagne entdeckt, die mit der sogenannten „Operation DreamJob“ in Verbindung steht, auch bekannt als „DeathNote“. Diese Operation wird der berüchtigten Lazarus-Gruppe zugeschrieben. Seit ihrem Beginn im Jahr 2019 hat sich die Kampagne stark weiterentwickelt. Ursprünglich zielte sie auf Unternehmen ab, die weltweit mit Kryptowährungen arbeiten. Im Jahr 2024 wurde der Fokus erweitert, sodass nun auch IT- und Verteidigungsunternehmen in Europa, Lateinamerika, Südkorea und Afrika ins Visier genommen werden.
Der aktuelle Bericht von Kaspersky beleuchtet die neuesten Entwicklungen der Kampagne und zeigt, dass Lazarus unter anderem Mitarbeiter eines Nukleartechnik-Unternehmens in Brasilien angegriffen hat. Innerhalb eines Monats wurden mindestens zwei Mitarbeiter desselben Unternehmens in Brasilien Ziel von Attacken. Lazarus nutzte dabei mehrere Archivdateien, die als Qualifikationsbewertungen für IT-Stellen bei renommierten Luft- und Raumfahrt- sowie Verteidigungsunternehmen getarnt waren.
Das erste Archiv wurde an zwei Mitarbeiter desselben Unternehmens (bezeichnet als Hosts A und B) geschickt. Nach etwa einem Monat verstärkte Lazarus die Angriffe auf eines der ursprünglichen Ziele. Vermutlich wurden Plattformen wie LinkedIn genutzt, um die initiale Kontaktaufnahme und die Übermittlung der schädlichen Dateien zu ermöglichen.
Malware-Trickkiste deutlich erweitert
Die Lazarus-Gruppe hat ihre Methoden zur Verbreitung von Schadsoftware weiterentwickelt und ihre Fähigkeit zur langfristigen Präsenz auf infizierten Systemen durch eine komplexe Infektionskette verbessert. Diese Kette umfasst verschiedene Arten von Schadsoftware, darunter einen Downloader, einen Loader und eine Hintertür. Bei ihrem mehrstufigen Angriff in Brasilien nutzten die Angreifer manipulierte VNC-Software (Virtual Network Computing), darunter eine trojanisierte Version des Remote-Desktop-Viewers für Windows und ein weiteres legitimes VNC-Tool, um Schadsoftware zu verbreiten.
In der ersten Phase entschlüsselte Lazarus eine trojanisierte Datei namens AmazonVNC.exe und führte den Ranid Downloader aus, um Inhalte aus internen Ressourcen der VNC-Datei zu extrahieren. Ein weiteres Archiv enthielt eine bösartige Datei vnclang.dll, welche die MISTPEN-Malware lud. Diese wiederum rief zusätzliche Schadprogramme ab, darunter RollMid und eine neue Variante von LPEClient.
Besonders hervorzuheben ist der Einsatz einer unsichtbaren, Plug-in-basierten Hintertür, die von Experten als CookiePlus bezeichnet wird. Diese Malware war als ComparePlus, ein Open-Source-Plugin für Notepad++, getarnt. Nach der Einrichtung auf dem Zielsystem sammelt CookiePlus Systemdaten wie den Computernamen, die Prozess-ID und Dateipfade. Außerdem lässt sie ihr Hauptmodul für einen festgelegten Zeitraum inaktiv bleiben („schlafen“) und passt ihren Ausführungsplan durch Änderungen an der Konfigurationsdatei an.
„Die Risiken sind erheblich, insbesondere im Hinblick auf Datendiebstahl. Operation DreamJob sammelt sensible Systeminformationen, die für Identitätsdiebstahl oder Spionage genutzt werden könnten“, so Sojun Ryu, Sicherheitsexperte im Global Research and Analysis Team von Kaspersky. „Die Fähigkeit der Malware, ihre Aktionen zu verzögern, ermöglicht es ihr, der Entdeckung beim Eindringen zu entgehen und länger auf dem System zu verbleiben. Durch festgelegte Ausführungszeiten kann sie in unregelmäßigen Intervallen agieren, was ihre Entdeckung zusätzlich erschwert. Darüber hinaus könnte sie Systemprozesse manipulieren und dadurch nicht nur die Erkennung vermeiden: So kann sie auch hohen Schaden anrichten und Systeme für die weitere Ausnutzung vorbereiten.“