Lazarus zielt mit bösartigen Dokumenten auf Job-suchende Ingenieure

  • Eine berüchtigte nordkoreanische APT gibt sich als Airbus, General Motors und Rheinmetall aus, um potenzielle Opfer zum Download von Malware zu verleiten.

    Die berüchtigte Lazarus Advanced Persistent Threat (APT)-Gruppe wurde als Cybergang identifiziert, die hinter einer Kampagne steckt, die bösartige Dokumente an arbeitssuchende Ingenieure verbreitet. Der Trick besteht darin, sich als Verteidigungsunternehmen auszugeben, das Kandidaten für eine Stelle sucht.

    Forscher haben die Lazarus-Aktivitäten seit Monaten mit technischen Zielen in den Vereinigten Staaten und Europa verfolgt, so ein online veröffentlichter Bericht von AT&T Alien Labs.

    Laut dem Autor des Berichts, Fernando Martinez, geben sich E-Mails, die von der APT an angehende Ingenieure geschickt werden, als von den bekannten Rüstungsunternehmen Airbus, General Motors (GM) und Rheinmetall aus.

    Den E-Mails sind Windows-Dokumente angehängt, die makrobasierte Malware enthalten, “die im Laufe dieser Kampagne und von einem Ziel zum anderen entwickelt und verbessert wurde”, schrieb Martinez.

    “Die Kerntechniken für die drei bösartigen Dokumente sind die gleichen, aber die Angreifer haben versucht, die potenziellen Entdeckungen zu reduzieren und die Fähigkeiten der Makros zu erhöhen”, schrieb er.

    Die Kampagne ist nur die neueste von Lazarus, die auf die Verteidigungsindustrie abzielt. Im Februar brachten Forscher eine Spear-Phishing-Kampagne aus dem Jahr 2020 mit der APT in Verbindung, die darauf abzielte, kritische Daten von Verteidigungsunternehmen zu stehlen, indem sie eine fortschrittliche Malware namens ThreatNeedle einsetzte.

    Mit der Verwendung von Microsoft Office-Makros und der kompromittierten Infrastruktur von Drittanbietern für die Kommunikation tragen die jüngsten Angriffe in der Tat die Handschrift von Lazarus und stehen im Einklang mit den früheren Kampagnen von Lazarus”, schrieb Martinez.

    “Die Köder der Angriffe, die potenziell auf technische Mitarbeiter in Regierungsorganisationen abzielen, zeigen, wie wichtig es ist, Lazarus und seine Entwicklung zu verfolgen”, schrieb er. “Wir sehen weiterhin, dass Lazarus die gleichen Taktiken, Techniken und Verfahren verwendet, die wir in der Vergangenheit beobachtet haben.”

    Ausdehnung der Kampagne gegen Ingenieure

    Forscher von AT&T Alien Labs hatten zuvor Aktivitäten von Lazarus beobachtet, die versuchten, Opfer mit gefälschten Jobangeboten von Boeing und BAE Systems zu ködern. Sie wurden auf die neue Kampagne aufmerksam, als Twitter-Nutzer mehrere Dokumente von Mai bis Juni dieses Jahres identifizierten, die mit der Lazarus-Gruppe in Verbindung gebracht wurden und Rheinmetall, GM und Airbus als Köder benutzten, schrieb Martinez.

    Konkret handelte es sich um folgende bösartige Dokumente: “Rheinmetall_job_requirements.doc”: identifiziert von ESET Research; “General_motors_cars.doc”: identifiziert vom Twitter-Nutzer @1nternaut; und “Airbus_job_opportunity_confidential.doc”: identifiziert von 360CoreS.

    Die Kampagnen, die die drei neuen Dokumente verwenden, haben Ähnlichkeiten in der Command-and-Control (C&C)-Kommunikation, aber unterschiedliche Wege, bösartige Aktivitäten auszuführen, fanden die Forscher heraus.

    Lazarus verteilte zwei bösartige Dokumente, die sich auf Rheinmetall bezogen, ein deutsches Ingenieurbüro, das sich auf die Verteidigungs- und Automobilbranche konzentriert. Das zweite enthielt jedoch “aufwändigere Inhalte” und blieb daher wahrscheinlich von den Opfern unbemerkt, schrieb Martinez.

    Ein einzigartiger Aspekt des Makros, das im ersten bösartigen Dokument enthalten war, ist, dass es Certutil, ein Befehlszeilenprogramm in Microsoft Docs, das als Teil der Zertifikatsdienste installiert ist, umbenennt, um seine Aktivitäten zu verschleiern.

    Die ultimative Nutzlast des Rheinmetall-Dokuments verwendet Mavinject.exe, eine legitime Windows-Komponente, die schon früher in Malware-Aktivitäten verwendet und missbraucht wurde, um beliebige Code-Injektionen in jeden laufenden Prozess durchzuführen, schrieb Martinez. Die Angreifer verwenden in diesem Fall eine kompromittierte Domain als C&C-Server, fügte Martinez hinzu.

    Das GM-Dokument enthielt einen Angriffsvektor, der dem von Rheinmetall ähnlich war, mit kleinen Änderungen im C&C-Kommunikationsprozess, fanden die Forscher heraus. Die im Zusammenhang mit dieser bösartigen Aktivität verwendete C&C-Domain, allgraphicart[.]com, scheint nicht mehr gefährdet zu sein, stellte Martinez fest.

    Sich entwickelnde Taktiken

    Das Airbus-Dokumentenmakro nutzte, wie der Rheinmetall-Angriff, Certutil und benannte es als Ausweichmanöver um und teilte ähnliche C&C-Kommunikationstaktiken. Allerdings zeigte es auch eine Weiterentwicklung der Injektions- und Ausführungsprozesse, die die frühere Verwendung von Mavinject zur Erledigung seiner schmutzigen Arbeit aufgibt, so die Forscher.

    “Das Makro führt die erwähnte Nutzlast mit einer aktualisierten Technik aus”, schrieb Martinez. “Die Angreifer verwenden nicht mehr Mavinject, sondern führen die Nutzlast direkt mit explorer.exe aus, wodurch sich der resultierende Ausführungsbaum erheblich verändert.”

    Sobald die Payload ausgeführt wurde, wartet das Makro im Airbus-Dokument drei Sekunden lang, bevor es eine .inf-Datei im selben Ordner erstellt. Dann, unabhängig davon, ob es erfolgreich ausgeführt wurde oder nicht, fährt das Makro fort, den Beacon mit dem Ausführungsstatus an das C&C zu senden und alle temporären Dateien zu löschen, um jegliche Beweise für bösartige Aktivitäten zu beseitigen, so die Forscher.

    Angesichts der historischen Proliferation von Lazarus – von Kaspersky als “aktivste” Bedrohungsgruppe des Jahres 2020 bezeichnet – wird der jüngste Angriff auf Ingenieure “voraussichtlich nicht der letzte sein”, so Martinez.

    “Angriffsköder, die potenziell auf technische Fachkräfte in Regierungsorganisationen abzielen, zeigen, wie wichtig es ist, Lazarus und seine Entwicklung zu verfolgen”, schrieb er.

    Schauen Sie sich unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com