Free

Lazarus-Gruppe zielt mit gefälschten Bewerbungsgesprächen auf Verteidigungsexperten

Die mit Nordkorea verbundene Lazarus-Gruppe, auch als Hidden Cobra oder TEMP.Hermit bekannt, hat in einer anhaltenden Kampagne namens "Operation Dreamjob " (Traumjob) Experten aus der Verteidigungsindustrie und Nuklearingenieure ins Visier genommen. Dabei wurden trojanisierte Versionen von Virtual-Network-Computing-(VNC)-Anwendungen als Köder eingesetzt.

Bedrohungen
Lesezeit 2 Min.

„Der Bedrohungsakteur bringt Arbeitssuchende über soziale Medien dazu, bösartige Apps für gefälschte Vorstellungsgespräche zu öffnen“, so Kaspersky in seinem APT-Trends-Bericht für das dritte Quartal 2023. Um eine Erkennung durch verhaltensbasierte Sicherheitslösungen zu vermeiden, arbeitet diese gefälschte Anwendung unauffällig und wird nur aktiviert, wenn der Benutzer einen Server aus dem Dropdown-Menü des trojanisierten VNC-Clients auswählt. Sobald die gefälschte Anwendung vom Opfer gestartet wird, ruft sie zusätzlichen Code ab, darunter eine bekannte Malware der Lazarus Group mit der Bezeichnung LPEClient, die mit Funktionen zur Erstellung von Profilen für kompromittierte Hosts ausgestattet ist.

Zusätzlich verwendet der Angreifer eine aktualisierte Version von COPPERHEDGE, einer Backdoor, die dafür berüchtigt ist, vielfältige Befehle auszuführen, Systeme zu überwachen und Daten zu stehlen. Hinzu kommt noch eine maßgeschneiderte Malware, die speziell entwickelt wurde, um interessante Dateien an einen Remote-Server zu übertragen.

Zu den Zielen dieser Kampagne gehören Unternehmen, die direkt an der Herstellung von Verteidigungsgütern beteiligt sind, darunter Radarsysteme, unbemannte Luftfahrzeuge (UAVs), Militärfahrzeuge, Schiffe, Waffen und maritime Unternehmen.

Operation Dream Job ist mit einer Serie von Angriffen verbunden, die von der nordkoreanischen Hackerszene koordiniert werden. Dabei werden potenzielle Ziele über verdächtige Konten auf Plattformen wie LinkedIn, Telegram und WhatsApp kontaktiert. Unter dem Vorwand, lukrative Jobangebote anzubieten, werden sie dazu verleitet, Malware zu installieren.

ESET veröffentlichte Ende des letzten Monats Informationen über einen Angriff der Lazarus Group auf ein nicht näher benanntes Luft- und Raumfahrtunternehmen in Spanien. Dabei kontaktierte der Angreifer Mitarbeiter des Unternehmens über LinkedIn, wobei er sich als Meta-Anwerber ausgab. Wer sich darauf einließ, erhielt ein „Implantat“ namens LightlessCan.

Die Lazarus Group ist nur eine der vielen aus Nordkorea stammenden Angreifergruppen, die mit Cyberspionage und finanziell motivierten Diebstählen in Verbindung gebracht werden. Eine weitere bedeutende Hackergruppe ist APT37, auch als ScarCruft bekannt. Diese Gruppe ist Teil des Ministeriums für Staatssicherheit, im Gegensatz zu anderen Bedrohungsaktionsgruppen wie APT43 (alias Kimsuky) und der Lazarus Group (einschließlich ihrer Untergruppen Andariel und BlueNoroff), die mit dem Reconnaissance General Bureau (RGB) in Verbindung stehen.

„Im Gegensatz zu anderen Bedrohungsgruppen, die Tools und Code oft gemeinsam verwenden, passen nordkoreanische Bedrohungsakteure kontinuierlich Code an und modifizieren ihn, um maßgeschneiderte Malware für verschiedene Plattformen, einschließlich Linux und macOS, zu entwickeln“, erklärte das zu Google gehörende Unternehmen Mandiant Anfang des Monats. „Diese Vorgehensweise unterstreicht ihre Fähigkeit zur Anpassung und die steigende Komplexität ihrer Aktivitäten.“

Eine weitere bemerkenswerte Entwicklung sind die Gemeinsamkeiten in der Infrastruktur, den Werkzeugen und den Zielen, die von verschiedenen nordkoreanischen Hackergruppen wie Andariel, APT38, Lazarus Group und APT43 genutzt werden. Dies erschwert die Zuordnung der Angriffe und deutet auf eine Koordination oder Straffung der Aktivitäten der Angreifer hin. Dies ging auch mit einem „gestiegenen Interesse an der Entwicklung von macOS-Malware für Backdoor-Plattformen von hochwertigen Zielen in der Kryptowährungs- und Blockchain-Branche einher“, so Mandiant.

Diesen Beitrag teilen: