ThreatNeedle-Malware steht im Zusammenhang mit einer jahrelangen nordkoreanischen Spionagekampagne gegen die globale Verteidigungsindustrie

  • Kasperksy-Forscher haben eine Malware der Lazarus Group, die zuletzt Anfang des Jahres auf Forscher von Sicherheitslücken abzielte, mit einer anderen Kampagne der nordkoreanischen Hackergruppe in Verbindung gebracht, die sich seit 2020 auf den Diebstahl sensibler Daten von Verteidigungsunternehmen in 12 Ländern konzentriert.

    Die Kaspersky-Forscher Vyacheslav Kopeytsev und Seongsu Park schreiben, dass die Gruppe zunächst durch Spearphishing-E-Mails Fuß gefasst hat. Viele bezogen sich auf die globale COVID-19-Pandemie oder spielten darauf an, während andere Beispiel-E-Mails scheinbar Stellenausschreibungen für Verteidigungsunternehmen nachahmten. Diese E-Mails enthielten einen bösartigen Microsoft Word-Makro-Anhang, mit dem die Angreifer eine Malware installieren konnten, die Kaspersky als ThreatNeedle bezeichnet und die eine Hintertür in den Netzwerken der Opfer installiert.

    Die endgültige Nutzlast ist in der Lage, Dateien und Verzeichnisse zu manipulieren, empfangene Befehle auszuführen, Systemprofile zu erstellen, ein Gerät in den Schlaf- oder Ruhezustand zu versetzen sowie Backdoor-Prozesse zu steuern und Backdoor-Konfigurationen zu aktualisieren.

    Besonders besorgniserregend ist, dass die Forscher beobachteten, wie die Lazarus-Hacker in der Lage waren, die Netzwerksegmentierungs-Schutzmaßnahmen mindestens einer ungenannten Organisation zu umgehen. Das Netzwerk war in ein Unternehmens- und ein eingeschränktes Segment aufgeteilt, und das Unternehmen verfolgte eine strenge interne Richtlinie, wonach keine Informationen zwischen den beiden Segmenten ausgetauscht werden durften.

    Geräte mit Administratorzugriff konnten sich jedoch mit beiden Netzwerken verbinden, um IT-Support zu leisten. Nachdem die Angreifer nach und nach eine Reihe von Systemen auf der Unternehmensseite infiziert hatten, erlangten sie die Kontrolle über Verwaltungsgeräte, einschließlich eines internen Routers, der sich mit beiden Netzwerken verbinden konnte. Sie konfigurierten den Router zu einem Proxyserver um, mit dem sie auch das eingeschränkte Netzwerk infizieren konnten, bevor sie die Daten mithilfe eines benutzerdefinierten Exfiltrationstools direkt aus dem Intranet des Unternehmens an von den Angreifern kontrollierte Server schickten.

    “Lazarus ist nicht nur sehr produktiv, sondern auch sehr raffiniert”, sagte Kopeytsev in einer Erklärung. “Sie waren nicht nur in der Lage, die Netzwerksegmentierung zu überwinden, sondern haben auch umfangreiche Untersuchungen durchgeführt, um hochgradig personalisierte und effektive Spear-Phishing-E-Mails zu erstellen und benutzerdefinierte Tools zu bauen, um die gestohlenen Informationen auf einen Remote-Server zu extrahieren.”

    Laut Kopeytsev und Park ist der in ThreatNeedle verwendete Code Teil einer fortgeschrittenen Version einer größeren Malware-Familie namens Manuscrypt, die von der Lazarus Group in früheren Hacking-Kampagnen gegen die Kryptowährungs- und Mobile-Games-Industrie verwendet wurde. Sie fanden auch Überschneidungen zwischen der Befehls- und Steuerungsinfrastruktur von ThreatNeedle und anderen Malware-Clustern, die mit der Lazarus Group in Verbindung gebracht werden, darunter AppleJeus, DeathNote und Bookcode.

    “Wir verfolgen die ThreatNeedle-Malware seit mehr als zwei Jahren und sind sehr zuversichtlich, dass dieser Malware-Cluster nur der Lazarus-Gruppe zuzuordnen ist”, schrieben die Kaspersky-Forscher.

    Der Bericht gibt nicht an, welche Länder oder Unternehmen angegriffen wurden, und es ist unklar, ob diese Kampagne mit einer anderen im August entdeckten Kampagne zusammenhängt, die eine sehr ähnliche Taktik verwendete, um IT-Mitarbeiter aus der Verteidigungsindustrie anzugreifen. Der Bericht beschrieb die Kampagne jedoch als “neu und bisher unbekannt” und konzentrierte sich im vergangenen Jahr auf die Verteidigungsindustrie in mindestens einem Dutzend Ländern.

    Mindestens eine der in dem Bericht erwähnten Spearphishing-E-Mails ist in gebrochenem Russisch verfasst, was darauf hindeutet, dass der Absender kein Muttersprachler war. Eine andere enthält einen bösartigen Dateianhang mit dem Namen Boeing_AERO_GS.docx, möglicherweise ein Verweis auf die US-Firma, obwohl nicht klar ist, ob der beabsichtigte Empfänger bei dieser Firma arbeitet.

    Ein Sprecher von Kasperksy bestätigte eine E-Mail-Anfrage von SC Media mit der Bitte um weitere Details zu den betroffenen Nationen und Organisationen.

    Falls neu, wäre es nicht das erste oder einzige Mal, dass Hacker versucht haben, die militärischen Geheimnisse ihrer geopolitischen Gegner zu erlangen, indem sie die Industrien ins Visier nahmen, die sie mit Waffen, Ausrüstung und Technologie beliefern.

    In den Vereinigten Staaten haben Verteidigungsunternehmen eine Reihe von Protokollen und Anforderungen zum Schutz klassifizierter Informationen, aber auch nicht klassifizierte Daten bergen Geheimnisse. Ein Beispiel: 2018 konnten chinesische Hacker 614 Gigabyte an Forschungs- und Entwicklungsdaten aus dem nicht klassifizierten Netzwerk eines Verteidigungsunternehmens stehlen, die sich auf eine Überschall-U-Boot-Rakete zur Schiffsabwehr bezogen, einschließlich Signal- und Sensordaten, Details über die verwendeten kryptografischen Systeme und die Bibliothek der Navy zur elektronischen Kriegsführung.

    “Es steht außer Frage, dass Gegner, egal ob Nationalstaat oder nicht, durch den unbefugten Zugang zu sensiblen, aber nicht klassifizierten technischen Informationen einen militärischen Vorteil erlangen können”, sagte Robert Metzger, Autor von Deliver Uncompromised und Experte für Sicherheitsfragen in der Lieferkette der Verteidigungsindustrie, gegenüber SC Media.

    Solche “Controlled Unclassified Information” ist technisch nicht geheim, unterliegt aber oft erhöhten Sicherheitsanforderungen durch das Verteidigungsministerium und das National Institute for Standards and Technology, weil sie wertvolle Einblicke in die militärischen Operationen der USA liefern kann. Metzger sagte, dass solche Bedenken mehr als hypothetisch sind und sich nicht nur auf US-Vertragspartner, sondern auch auf Verbündete erstrecken.

    “Aus nicht klassifizierten technischen Informationen kann ein Gegner viel über die beitragenden Technologien und operativen Eigenschaften von Verteidigungssystemen lernen. Sie können das auf viele schändliche Arten nutzen”, sagte er. “Zum Beispiel könnten sie versuchen, ihre eigenen Varianten der gestohlenen Technologie zu imitieren und zu produzieren. Oder sie könnten Kampfdoktrinen anpassen, um den Vorteil der Technologie oder des Systems zu verwässern oder zunichte zu machen, wenn dessen Vertraulichkeit nicht durch den Cyber-Diebstahl beeinträchtigt worden wäre. Eine verwandte und potenziell alarmierendere Möglichkeit besteht darin, dass ein Gegner durch den Zugang zu und die Untersuchung von gestohlenen, nicht klassifizierten Informationen Wege finden kann, das System weiter anzugreifen, so dass sein Betrieb unterwandert und seine Funktionalität beeinträchtigt werden kann.”

    Kasperskys Bericht enthält auch Indikatoren für eine Kompromittierung und einen Anhang zum MITRE ATT&CK-Mapping, mit dem Verteidiger die Präsenz von ThreatNeedle in ihren Netzwerken erkennen können.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com