Lazarus-Gruppe nutzt Log4j-Exploits für neue Remote-Access-Trojaner
Die Lazarus Group, eine berüchtigte Hackergruppe, die mit Nordkorea in Verbindung gebracht wird, wird für eine neue weltweite Angriffskampagne verantwortlich gemacht. Dabei nutzen die Angreifer Schwachstellen in Log4j aus, um bisher nicht dokumentierte Remote Access Trojaner (RATs) auf kompromittierten Hosts einzurichten.
Cisco Talos, der für Cybersecurity zuständige Arm von Cisco, beobachtet in der „Operation Blacksmith“ neue Aktivitäten der Lazarus-Gruppe. Dabei hat das Unternehmen den Einsatz von drei Malware-Familien entdeckt. Eine davon ist NineRAT, eine Art von Fernzugriffstool, das Telegram für seine Steuerung nutzt. Außerdem gibt es DLRAT und einen Downloader namens BottomLoader.
Der Security-Spezialist beschreibt die neuen Taktiken der Angreifer als deutliche Veränderung. Sie ähneln dem Cluster namens Andariel, auch bekannt als Onyx Sleet oder Silent Chollima. Dieser Cluster wird als Teil der Lazarus-Gruppe angesehen.
Die Forscher von Talos haben in einem technischen Bericht erklärt, dass Andariel normalerweise dafür zuständig ist, Zugriff zu erhalten, Informationen zu sammeln und langfristigen Zugang für Spionagezwecke zu ermöglichen. Ziel ist es, die nationalen Interessen der nordkoreanischen Regierung zu unterstützen.
Die Angriffsketten beinhalten die Ausnutzung von CVE-2021-44228 (auch bekannt als Log4Shell) gegen öffentlich zugängliche VMWare Horizon-Server, um NineRAT auszuführen. Zu den bekannten Zielbranchen gehören die Fertigungsindustrie, die Landwirtschaft und die physische Sicherheit.
Der Missbrauch von Log4Shell ist nicht überraschend, wenn man bedenkt, dass 2,8 Prozent der Anwendungen zwei Jahre nach der Veröffentlichung immer noch anfällige Versionen der Bibliothek (von 2.0-beta9 bis 2.15.0) verwenden, so Veracode. Weitere 3,8 Prozent verwenden Log4j 2.17.0, das zwar nicht für CVE-2021-44228 anfällig ist, aber für CVE-2021-44832.
NineRAT wurde erstmals im Mai 2022 entwickelt und soll im März 2023 bei einem Angriff auf eine südamerikanische Landwirtschaftsorganisation und im September 2023 auf ein europäisches Produktionsunternehmen eingesetzt worden sein. Um nicht entdeckt zu werden, nutzt diese Malware einen legitimen Nachrichtendienst wie Telegram für die C2-Kommunikation.
Diese Malware ist das Hauptwerkzeug, um mit einem infizierten Computer zu interagieren. Damit können die Angreifer Befehle senden, um Informationen über das System zu sammeln, wichtige Dateien hoch- oder herunterzuladen und sogar die Malware zu entfernen oder zu aktualisieren.
Die Forscher sagen, dass NineRAT nach der Aktivierung vorläufige Befehle aus einem Telegramm-Kanal annimmt, um die „Fingerabdrücke“ der infizierten Systeme erneut zu überprüfen. Das bedeutet, dass die gesammelten Daten, die Lazarus durch NineRAT erhält, möglicherweise von anderen APT-Gruppen genutzt werden könnten. Diese Daten könnten in einem anderen Speicherort liegen als die Informationen, die Lazarus in der ersten Zugangs- und Implantationsphase gesammelt hat.
Nachdem sie den Ort erkundet hatten, haben die Angreifer auch ein spezielles Proxy-Tool namens HazyLoad verwendet, das zuvor von Microsoft in Angriffen identifiziert wurde. Diese Angriffe nutzten Sicherheitslücken in JetBrains TeamCity (CVE-2023-42793, CVSS-Score: 9.8) aus. HazyLoad wird heruntergeladen und ausgeführt, indem eine andere Malware namens BottomLoader verwendet wird.
Zusätzlich dazu wurde bei Operation Blacksmith beobachtet, dass DLRAT eingesetzt wird. DLRAT ist sowohl ein Downloader als auch ein RAT (Remote Access Tool). Es kann Systeme erkunden, zusätzliche schädliche Software installieren und Befehle vom C2-Server empfangen und auf den angegriffenen Systemen ausführen.
Die Experten von Cisco Talos haben erklärt, dass „DLRAT eine weitere Entwicklung der Strategie von Lazarus ist, die mit MagicRAT begann. Diese Strategie nutzt ungewöhnliche Programmiersprachen und Systeme und verwendet modulare Malware, um nicht entdeckt zu werden.“
Die Forscher betonten, dass diese verschiedenen Tools der Lazarus Group mehrere Möglichkeiten bieten, auf die Systeme zuzugreifen, falls eine der Methoden entdeckt wird. Das sorgt für sehr hartnäckige Angriffe, die schwieriger zu stoppen sind.
Andariel hat Log4Shell schon früher ausgenutzt, um einen Remote-Access-Trojaner namens EarlyRat zu verbreiten. Das AhnLab Security Emergency Response Center (ASEC) hat enthüllt, dass Kimsuky, auch bekannt als APT43 (weitere Namen sind ARCHIPELAGO, Black Banshee und Velvet Chollima) AutoIt-Versionen von Malware wie Amadey und RftRAT nutzt. Die Akteure verbreiten diese über Spearphishing-Angriffe mit gefälschten Anhängen und Links, um Sicherheitsprodukte zu umgehen.
Kimsuky ist Teil des nordkoreanischen Reconnaissance General Bureau (RGB) und operiert dort neben Gruppen wie der Lazarus Group. Die Gruppe wurde am 30. November 2023 vom US-Finanzministerium mit Sanktionen belegt, weil sie nachrichtendienstliche Informationen sammelt, um die Ziele des Regimes zu unterstützen.
ASEC sagte, dass Kimsuky nach der Übernahme eines infizierten Systems verschiedene Arten von Malware wie Keylogger und Tools zur Datenextraktion aus Webbrowsern installiert, um Informationen zu stehlen. Darüber hinaus wurde eine neue Phishing-Kampagne mit Bezug zu Konni entdeckt. Diese verwendet eine bösartige Datei, die sich als Microsoft Word-Datei tarnt, um eine Backdoor zu installieren. Diese Backdoor empfängt und führt verschleierte Befehle im XML-Format aus, die von den Angreifern kommen.