Nordkoreanische Hacker nutzen Windows Update und GitHub für Angriff

Die Sicherheitsforscher von Malwarebytes haben eine perfide Spear-Phishing-Kampagne entdeckt, die von der nord­ko­re­a­ni­schen Lazarus-Hacker-Gruppe ausgeht. Bei der neu­en Kam­pag­ne nut­zen die Ha­cker Win­dows Up­date für sich und um­ge­hen Sicherheitsvorkehrungen. Das geht aus einem Bericht von Malwarebytes hervor. Lazarus ist eine der raffiniertesten nordkoreanischen Hacker-Gruppen, die mindestens seit dem Jahr 2009 aktiv ist. Die Gruppe ist für viele Angriffe in der Vergangenheit verantwortlich und hat weltweite Aufmerksamkeit erlangt - Ziele sind meist wichtige Unternehmen, staatliche Einrichtungen und Politiker. Malwarebytes überwacht die Aktivitäten der Gruppe seit Längerem und konnte so jetzt am 18. Januar 2022 eine neue Kampagne entdecken. Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing Hacker-Gruppen wie Lazarus bezeichnet man dabei als Advanced Persistent Threat oder kurz APT-Hacker, da sie zielgerichtet Opfer suchen und nicht zum Beispiel mit Botnetzen nach möglichen Opfern suchen. So ist es jetzt auch bei der neu entdeckten Kampagne, wobei Malwarebytes in dem öffentlichen Bericht nicht meldet, um welches Ziel es sich handelte.

Die Kampagne an sich hat es aber in sich: Die Gruppe verwendete manipulierte, bösartige Dokumente, die vorgaben, einen Job bei Lockheed Martin anzubieten. Sie gingen per E-Mail gezielt an Mitarbeiter eines Konzerns.

Windows Update für Downloads

Die Lazarus-Gruppe nutzte dazu Windows Update, um Sicherheitserkennungsmechanismen zu umgehen. Malwarebytes stellt fest, dass dies eine "clevere" Nutzung von Windows Update ist: "Dies ist eine interessante Technik, die Lazarus verwendet, um seine bösartige DLL über den Windows Update Client auszuführen und so die Sicherheitserkennungsmechanismen zu umgehen", so Malwarebytes. "Mit dieser Methode kann der Bedrohungsakteur seinen bösartigen Code über den Microsoft Windows Update-Client ausführen…"

Die Lazarus-Gruppe nutzte für ihren Angriff zudem GitHub. Die Verwendung von GitHub macht es für Sicherheitsprodukte schwierig, zwischen bösartigen und legitimen Inhalten zu unterscheiden. Dies ist das erste Mal, dass Malwarebytes beobachtet hat, dass die Gruppe GitHub auf diese Weise verwendet.

Die Lazarus-Gruppe hatte zuvor Spear-Phishing-Taktiken eingesetzt, um an COVID-19-Forschungsergebnisse zu gelangen. Lazarus wurde auch mit dem bekannten Angriff auf Sony und dem WannaCry-Ransomware-Angriff in Verbindung gebracht. Malwarebytes hat dafür gesorgt, dass Github alle eingesetzten Dokumente gelöscht hat. Viel mehr ist zu dem Angriff derzeit nicht bekannt.

Download So laufen Defender und andere Antivirus-Apps nicht parallel Siehe auch: Nordkoreanische Lazarus-Gruppe plündert Geldautomaten in 30 Staaten