Lazarus APT taucht wieder auf: Nutzung von Windows Update und GitHub

[post-views]
Februar 03, 2022 · 3 min zu lesen
Lazarus APT taucht wieder auf: Nutzung von Windows Update und GitHub

Einen Monat im Jahr 2022 gibt es keinen absehbaren Einbruch bei Angriffen; im Gegenteil, das Cybersecurity-Gebiet ist geschäftig. Die Landschaft ist vertraut: lauernde Hacker und Sicherheitsexperten, die unermüdlich arbeiten, um sicherzustellen, dass die erstgenannten keine Ruhe finden.

Ende Januar wurde eine neue Angriffskampagne, die von einer mit Nordkorea verbundenen APT gestartet wurde, vom Malwarebytes Threat Intelligence-Team entdeckt. Dieses Mal nutzt der staatlich geförderte Akteur den Windows Update-Dienst, um Malware zu verbreiten und GitHub als Command-and-Control-Server zu verwenden.

HIDDEN COBRA

Die Lazarus-Gruppe ist eine berüchtigte Hacking-Organisation, die von der nordkoreanischen Regierung gesponsert wird. Diese Gruppe ist seit mindestens 2009 im Visier und wird verdächtigt, hinter einer Reihe von hochkarätigen Kampagnen zu stehen, einschließlich Cyberkriegsführung, Cyberspionage und Ransomware-Angriffen.

Nordkoreas Cyber-Programm stellt eine kontinuierliche Bedrohung durch Spionage, Diebstahl und Angriffe dar, indem es beträchtliche Unterstützung für zahlreiche bösartige Cybergruppen leistet. Um jegliche Fehlbenennungen im umfangreichen Bereich der von der nordkoreanischen Regierung gesponserten kriminellen Cyberaktivitäten zu vermeiden, sei darauf hingewiesen, dass die Lazarus-Gruppe unter vielen Namen bekannt ist, von denen einige wie Andariel, Kimsuky, APT37, APT38 auf Untergruppen verweisen, und dass ein Überbegriff HIDDEN COBRA verwendet wird, um sich auf bösartige Cyberaktivitäten zu beziehen, die im Allgemeinen vom nordkoreanischen Staat betrieben werden.

Die am häufigsten verwendeten Methoden der Gruppe sind Malware-Verbreitung, Zero-Days, Spear Phishing, Desinformation und Hintertüren.

Die neueste Angriffskette

Die neuesten Angriffsfälle von Lazarus wurden am 18. Januar 2022 gemeldet. Doch es gibt Daten, die darauf hindeuten, dass die Kampagne bereits seit Ende 2021 in Betrieb war. Dieses Mal zielt die Lazarus-Gruppe darauf ab, Windows Update und GitHub zu nutzen, um Erkennungen zu umgehen. Um PCs mit Malware zu infizieren, beginnt der Angriff mit der Implementierung bösartiger Makros, die in ein Word-Dokument eingebettet sind. Genau genommen deuten aktuelle Daten darauf hin, dass Bedrohungsakteure zwei mit Makros eingebettete Dokumente verwenden, um Benutzer mit neuen Jobmöglichkeiten bei Lockheed Martin, einem globalen Unternehmen, zu locken:

Lockheed_Martin_JobOpportunities.docx

Salary_Lockheed_Martin_job_opportunities_confidential.doc

Wenn das Opfer eine präparierte Datei öffnet, führt die Malware eine Reihe von Injektionen aus, um auf dem Zielgerät eine Startpersistenz zu erreichen: Ein eingebettetes Makro legt eine WindowsUpdateConf.lnk-Datei im Startordner und eine DLL-Datei (wuaueng.dll) im Windows/System32-Ordner ab.

Bösartige DLL wird dann unter Verwendung des Windows Update Client ausgeführt, um eine Erkennung zu vermeiden. Eine weitere Technik, die darauf abzielt, unter dem Sicherheitsradar zu bleiben, ist die Nutzung von GitHub für die C2-Kommunikation.

Erkennung des neuesten Lazarus-Angriffs

Um mögliche Angriffe zu identifizieren und die neuartige Lazarus-Spear-Phishing-Kompromittierung zu entschärfen, entscheiden Sie sich für den Download eines Bündels kostenloser Sigma-Regeln. Der Inhalt wurde von unseren aufmerksamen Threat Bounty-Entwicklern veröffentlicht Nattatorn Chuensangarun and Onur Atali.

Lazarus APT führt die bösartigen Makros durch Prozesserstellung aus

Lazarus APT GitHub-Kampagne von Nordkorea über Datei-Ereignis

Lazarus APT nutzt Windows Update Client, GitHub über Datei-Ereignis

Die vollständige Liste der Erkennungen im Zusammenhang mit der Lazarus APT im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.

Melden Sie sich kostenlos auf der SOC Prime’s Detection as Code-Plattform an, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, die Protokollquelle und die MITRE ATT&CK-Abdeckung zu verbessern und die Cyber-Abwehrfähigkeiten der Organisation insgesamt zu stärken. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Nehmen Sie an unserem Threat Bounty-Programm teil und werden Sie für Ihren wertvollen Beitrag belohnt.

Zur Plattform gehen Threat Bounty beitreten

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten