Nordkorea’s Lazarus Group Strikes Again: Persistent Hackers Target Software Providers

Nordkorea hat es wieder getan! Die berüchtigte Hackergruppe Lazarus hat erneut zugeschlagen und einen Softwareanbieter gehackt. Dabei haben sie Schwachstellen in der Software ausgenutzt, obwohl es bereits Patches und Warnungen vom Entwickler gab. Man könnte meinen, die Jungs haben einen Faible für verletzliche Software.

Was genau die Lazarus-Gruppe bezwecken wollte, ist noch unklar. Möglicherweise haben sie versucht, den Quellcode zu stehlen oder die Lieferkette zu manipulieren. Auf jeden Fall sind sie hartnäckig und entschlossen. Anders kann man sich nicht erklären, warum sie dasselbe Opfer gleich mehrmals attackiert haben. Die haben wohl wirklich ein Auge auf den Quellcode geworfen.

Aber damit nicht genug. Lazarus hat nicht nur diesen einen Softwareanbieter im Visier gehabt, sondern auch andere Hersteller angegriffen. Die Jungs scheinen wirklich keine Langeweile zu haben. Wahrscheinlich sitzen sie in Nordkorea und denken sich: „Was machen wir heute? Ach, lasst uns mal ein paar Softwarehersteller ärgern.“

Die Experten von Kaspersky haben den Angriff im Juli 2023 entdeckt und konnten beobachten, wie Lazarus eine breite Infektionskette und ein Post-Kompromittierungstoolset eingesetzt hat. Das klingt ja fast wie aus einem Actionfilm. Aber Spaß beiseite, die Jungs von Kaspersky haben ordentlich was zu tun gehabt, um den Angriff zu analysieren.

Interessanterweise hat Lazarus auch legitime Sicherheitssoftware angegriffen, die zur Verschlüsselung von Webkommunikation verwendet wird. Da muss man sich schon fragen, ob die Nordkoreaner überhaupt wissen, was sie da tun. Wahrscheinlich haben sie gedacht, dass sie ihre eigene Kommunikation besser verschlüsseln können.

Die genaue Methode, mit der die Hacker vorgegangen sind, ist noch nicht bekannt. Aber die Ausbeutung der Schwachstellen führte dazu, dass Malware namens SIGNBT eingeschleust wurde. Klingt fast wie ein geheimer Agentencode. Die Hacker haben also nicht nur den Quellcode im Visier, sondern auch noch andere böse Überraschungen parat.

SIGNBT kann Befehle vom Command-and-Control (C2) empfangen und zusätzliche Nutzlasten auf dem infizierten System bereitstellen. Das ist ja wie ein Schweizer Taschenmesser für Hacker. Da können sie richtig kreativ werden und ihre Werkzeuge nach Belieben einsetzen.

Die Lazarus-Gruppe hat auch eine Malware namens LPEClient im Gepäck, die Informationen stiehlt und andere Malware auf den kompromittierten Systemen einschleust. Diese Jungs legen wirklich Wert auf Vielseitigkeit. Sie haben sogar ihre Malware weiterentwickelt, um einer Erkennung zu entgehen. Das ist schon fast bewundernswert, wenn es nicht so gefährlich wäre.

Alles in allem bleibt die Lazarus-Gruppe eine der aktivsten und gefährlichsten Bedrohungen da draußen. Sie haben es auf verschiedene Branchen und Regionen abgesehen und scheinen vor nichts Halt zu machen. Organisationen sollten daher proaktiv ihre Software patchen und Schwachstellen vermeiden, um nicht zum Opfer dieser hartnäckigen Hacker zu werden. Also, liebe IT-Abteilungen, ran an die Updates! Sonst kommt Lazarus und schaut, was ihr so treibt.

Schlagwörter: Lazarus + Nordkorea + Kaspersky

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 27. Oktober 2023
FEHLER!