Neue Angriffs-Malware-Kampagne der Lazarus Group trifft Unternehmen in Großbritannien und den USA

Der Cisco Talos-Bericht deckt neue Malware auf, mit der die Gruppe die Internet-Backbone-Infrastruktur und Gesundheitsorganisationen in Großbritannien und den USA angreift

Bild: SomYuZu/Adobe Stock

Zwei Berichte des Cybersicherheitsunternehmens Cisco Talos liefern Informationen über eine neue Angriffskampagne des nordkoreanischen Bedrohungsakteurs Lazarus. Die Berichte enthüllen neue Malware und Tools, die von der Gruppe verwendet werden, die weiterhin dieselbe Infrastruktur nutzt.

Springen zu:

Was ist diese neue Malware-Angriffskette?

Die Forscher beobachteten, wie es der Lazarus-Gruppe Anfang 2023 gelang, einen Internet-Backbone-Infrastrukturanbieter im Vereinigten Königreich zu kompromittieren und eine neue Malware namens QuiteRAT einzusetzen.

Die anfängliche Kompromittierung erfolgte durch Ausnutzung der Schwachstelle CVE-2022-47966, die Zohos ManageEngine ServiceDesk betrifft. Der Bedrohungsakteur nutzte dafür fünf Tage nach der Veröffentlichung des Machbarkeitsnachweises einen Exploit. Der erfolgreiche Exploit hat die QuiteRAT-Malware heruntergeladen und ausgeführt, die auf einer IP-Adresse gehostet wird, die Lazarus seit mindestens Mai 2022 verwendet.

Sobald die Malware ausgeführt wurde, sendet sie erste Informationen über das System an ihren Command-and-Control-Server und wartet auf eine Antwort, bei der es sich um einen direkten Befehl an die Malware oder eine über den cmd auszuführende Microsoft Windows-Befehlszeile handeln kann .exe-Prozess. Die anfänglichen Informationen werden verschlüsselt und an den C2 gesendet; Es besteht aus Netzwerkkonfigurationsinformationen (z. B. IP-Adresse und MAC-Adresse) und dem aktuell angemeldeten Benutzernamen (Abbildung A).

Abbildung A

Typische Infektionskette in dieser Lazarus-Kampagne.
Typische Infektionskette in dieser Lazarus-Kampagne. Bild: Cisco Talos

Das neue Malware-Arsenal der Lazarus-Gruppe

Lazarus hat in dieser Angriffskampagne verschiedene Malware eingesetzt: QuiteRAT, CollectionRAT, DeimosC2 und bösartiges Plink.

Aufhören

QuiteRAT ist ein Fernzugriffstool, das hauptsächlich auf der Grundlage von Qt-Bibliotheken und Entwicklercode erstellt wurde. Die Verwendung von Qt zum Schreiben von Malware ist selten, da dieses Framework normalerweise zur Entwicklung grafischer Benutzeroberflächen verwendet wird. Die Verwendung von Qt macht die Analyse des Codes für Reverse Engineers komplexer und kann dazu führen, dass maschinelles Lernen und heuristische Erkennungen durch Sicherheitslösungen weniger zuverlässig sind, da sie die Verwendung der Qt-Bibliotheken möglicherweise nicht als bösartig kennzeichnen.

Lesen Sie auch  Was die Wissenschaft über das Gewichtsverlustpotenzial der Ernährung mit einer Mahlzeit pro Tag sagt

Es ist nicht das erste Mal, dass Lazarus das Qt-Framework zur Entwicklung von Malware nutzt. MagicRAT-Malware nutzte es bereits, und Ähnlichkeiten zwischen beiden (z. B. die gleichen Fähigkeiten, das gleiche Codierungsschema und ähnliche Funktionen, damit sie inaktiv bleiben) deuten darauf hin, dass QuiteRAT von MagicRAT abgeleitet wurde. Darüber hinaus stellt Cisco Talos fest, dass die letzte beobachtete MagicRAT-Version im April 2022 kompiliert wurde, während die gefundenen QuiteRAT-Beispiele im Mai und Juli 2022 kompiliert wurden. Dies könnte auf einen Wechsel von MagicRAT zu QuiteRAT hinweisen, das kleiner und kompakter ist: MagicRAT benötigt 18 MB, während QuiteRAT etwa 4 MB bis 5 MB groß ist.

SammlungRAT

CollectionRAT ist ein weiteres RAT, das von Lazarus verwendet und wahrscheinlich entwickelt wurde. Bei der Malware handelt es sich um eine gepackte, auf der Microsoft Foundation Class-Bibliothek basierende Windows-Binärdatei, die den eigentlichen Malware-Code im Handumdrehen entschlüsselt und ausführt. Die Malware sammelt Informationen von dem System, das sie infiziert hat, und bietet verschiedene übliche Funktionen für eine RAT: Sie ermöglicht die Datenerfassung, kann eine Reverse-Shell bereitstellen, um beliebige Befehle auf dem System auszuführen, auf der Festplatte zu lesen und zu schreiben sowie zusätzliche Nutzlasten herunterzuladen und auszuführen.

Die Forscher fanden Informationen, die darauf hindeuten könnten, dass CollectionRAT aus einer anderen Malware-Familie namens EarlyRAT hervorgegangen ist, die der Andariel-Untergruppe von Lazarus zugeordnet wird. Ein CollectionRAT-Beispiel verwendete genau dasselbe Codesignaturzertifikat wie eine ältere Version von EarlyRAT aus dem Jahr 2021.

DeimosC2

DeimosC2 ist ein Open-Source-Post-Exploitation-C2-Tool, das mehrere Kommunikationsmethoden nutzt, um kompromittierte Maschinen zu steuern. Es wird von Lazarus als Mittel für den anfänglichen und dauerhaften Zugriff verwendet.

Lesen Sie auch  Gators erhält Engagement von Top-100 QB in der Klasse von 2025

Die Forscher fanden ein Linux-DeimosC2-Implantat in der Infrastruktur, was darauf hindeutet, dass der Bedrohungsakteur es beim ersten Zugriff auf kompromittierte Linux-basierte Server einsetzen wollte. Das Implantat wurde nicht stark angepasst, was ein Hinweis darauf sein könnte, dass Lazarus es noch testet oder sich daran gewöhnt.

Die Implantate verfügen typischerweise über verschiedene RAT-Funktionen, wie zum Beispiel das Ausführen von Befehlen, das Stehlen von Anmeldeinformationen sowie das Herunterladen und Ausführen weiterer Nutzlasten.

Böswilliger Plink

Plink, auch bekannt als PuTTY Link, ist ein legitimes Open-Source-Tool, das von Netzwerkadministratoren verwendet wird, um bei Bedarf Reverse-Tunneling-Funktionen zu erhalten. Lazarus hat das Tool in der Vergangenheit so verwendet, wie es ist, aber die Gruppe hat damit begonnen, den Quellcode zu ändern, um die Reverse-Tunnel-Befehlszeichenfolgen in die Binärdatei selbst einzubetten.

Lazarus verwendet weiterhin dieselbe Infrastruktur

Obwohl die Gruppe viele Änderungen an ihrem Arsenal vornimmt, nutzt der staatlich geförderte nordkoreanische Bedrohungsakteur Lazarus „weiterhin einen Großteil der gleichen Infrastruktur, obwohl diese Komponenten über die Jahre hinweg von Sicherheitsforschern gut dokumentiert wurden“, so Cisco Talos. Dies ist eine gute Nachricht für die Sicherheit, da es IT-Mitarbeitern und Forschern ermöglicht, den Bedrohungsakteur einfacher zu verfolgen und sich vor ihm zu schützen. Es könnte aber auch bedeuten, dass Lazarus von seinen Abläufen genug Vertrauen hat und es nicht für nötig hält, große Teile seiner Angriffsinfrastruktur zu ändern.

QuiteRAT wurde am selben entfernten Standort gefunden wie die DeimosC2-Agenten und die MagicRAT-Malware, die 2022 von Lazarus verwendet wurden. Der Standort wurde auch für CollectionRAT verwendet.

Die verschiedenen von Lazarus verwendeten Tools und Malware können mithilfe der Infrastruktur miteinander verknüpft werden (Abbildung B).

Lesen Sie auch  Authentizität ist in der kreativen Gemeinschaft ein großes Anliegen

Abbildung B

Operative Verbindungen zwischen den verschiedenen Schadprogrammen und Tools.
Operative Verbindungen zwischen den verschiedenen Schadprogrammen und Tools. Bild: Cisco Talos

So schützen Sie Ihr Unternehmen vor dieser Sicherheitsbedrohung

Bei dieser Angriffskampagne erfolgte die anfängliche Kompromittierung durch Ausnutzung einer Schwachstelle im ManageEngine ServiceDesk von Zoho, die etwa im November 2022 gepatcht wurde. Zu den Tipps zum Schutz vor dieser Sicherheitsbedrohung gehören:

  • Halten Sie Software und Betriebssysteme auf dem neuesten Stand und mit Patches versehen.
  • Überwachen Sie Netzwerke mit Sicherheitslösungen.
  • Legen Sie Regeln fest, um die Kommunikation der in dieser Angriffskampagne offengelegten Malware zu erkennen.
  • Überwachen Sie die vom Bedrohungsakteur verwendeten IP-Adressen.
  • Stellen Sie Sicherheitslösungen auf Endpunkten und Servern bereit, um Malware und Tools zu erkennen, die für Angriffe auf Ihr Unternehmen verwendet werden könnten. Diese Lösungen sollten auch den E-Mail-Inhalt, angehängte Dateien und mögliche Links zu schädlichen Inhalten überwachen.

Offenlegung: Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine eigenen.

Recent News

Tags
als Auf aus bei Das Dass dem den der des die ein eine einem einen Einer Fußball FÜR gegen haben hat IST MEHR MIT nach Nachricht neue nicht sich SIE sind Sport tägliche Post Und Von Vor wegen werden Wie wird Wirtschaft Würde zum zur über

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Hosted by Byohosting - Most Recommended Web Hosting - for complains, abuse, advertising contact: o f f i c e @byohosting.com

Copyright 2023 Germanic.News. All rights reserved.