Das Sicherheitsforschungsunternehmen Cisco Talos hat kürzlich eine berüchtigte Cyber-Bedrohungsgruppe aufgedeckt, die mit Nordkorea in Verbindung steht "Lazarus Der von der "Gruppe" durchgeführte globale Angriff wurde als "Operation Blacksmith" bezeichnet. Die "Operation Blacksmith" zeichnete sich durch den Einsatz vonLog4j-Schwachstelle(CVE-2021-44228auch bekannt als...Log4Shell), um einen bisher unbekannten Remote Access Trojaner (RAT) auf dem Zielsystem einzusetzen.
Talos.SicherheitsexperteJung soo An, Asheer Malhotra und Vitor Ventura enthüllten, dass die Lazarus Group drei Malware-Familien, die auf der DLang-Sprache basieren, zur Ausführung ihrer Angriffe verwendete, darunter NineRAT RAT, das Telegram als Befehls- und Kontrollkanal (C2) nutzt, DLRAT und ein Downloader namens BottomLoader-Downloader.
Einem technischen Bericht zufolge überschneiden sich die neuen Taktiken, die bei dieser Operation zum Einsatz kommen, erheblich mit den Verhaltensmustern von Andariel (auch bekannt als Onyx Sleet oder Silent Chollima), einer Untergruppe von Lazarus, die sich in der Regel auf den Erstzugang, die Aufklärung und die Schaffung eines langfristigen Zugangs konzentriert, was wiederum die strategischen Interessen der nordkoreanischen Regierung unterstützt.
Die Angriffskette gegen das Ziel konzentriert sich auf die Bereiche Fertigung, Landwirtschaft und physische Sicherheit durch Angriffe auf öffentlich zugängliche VMWare Horizon-Server. Seit der ersten Ausnutzung im Mai 2022 wurde NineRAT in einer Reihe von Angriffen eingesetzt, darunter gegen südamerikanische landwirtschaftliche Organisationen im März dieses Jahres und gegen europäische Fertigungsunternehmen im September.
Die Daten zeigen, dass 2.8%-Anwendungen auch zwei Jahre nach der Veröffentlichung immer noch eine Version von Log4j verwenden, die Sicherheitslücken aufweist, während 3.8%-Anwendungen eine Version von Log4j 2.17.0 verwenden, die immun gegen den Angriff CVE-2021-44228, aber anfällig für den Angriff CVE-2021-44832 ist.
Nach einer erfolgreichen Infektion führt NineRAT ein weiteres System-Fingerprinting über Telegram-basierte C2-Kommunikation durch, was darauf schließen lässt, dass die von Lazarus über NineRAT gesammelten Daten möglicherweise mit anderen APT-Organisationen geteilt und getrennt von den ursprünglich gesammelten Daten gespeichert wurden.
Der Bericht enthüllt auch ein benutzerdefiniertes Proxy-Tool namens HazyLoad, das bei dem Angriff verwendet wurde, um eine kritische Sicherheitslücke in JetBrains TeamCity auszunutzen (CVE-2023-42793, CVSS-Score 9.8). HazyLoad wird normalerweise über Malware namens BottomLoader heruntergeladen und ausgeführt.
Darüber hinaus wird im Rahmen der Operation Blacksmith der DLRAT eingesetzt, der nicht nur ein Downloader, sondern auch ein RAT ist, der Systeme auskundschaftet, andere Malware einsetzt, C2-Befehle empfängt und sie auf infizierten Systemen ausführt.
Andererseits veröffentlichte das Korea Security Emergency Response Centre (ASEC) einen Bericht über eine andere nordkoreanische APT-Gruppe, die mit Lazarus in Verbindung steht: Kimsuky (auch bekannt als APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Nickel Kimball und Velvet Chollima), die über Spear-Phishing-Angriffe mit Köderanhängen und Links angreift.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/lazarus-group-exploits-log4j-vulnerability.html
