Im Januar 2025 hat die berüchtigte Lazarus-Gruppe, welche mit Nordkorea in Verbindung gebracht wird, zielgerichtete Cyberangriffe auf südkoreanische Webserver durchgeführt. Diese Angriffe fokussieren sich insbesondere auf ASP-basierte Web-Shells, die als erste Stufe der Command-and-Control-Infrastruktur dienen. Laut IT-Boltwise wurden mehrere Internet Information Services (IIS)-Server in Südkorea kompromittiert und damit die Effektivität von Malware-Distribution gesteigert.
Die Hackergruppe nutzt nun raffinierte Techniken, um ihre Attacken effektiver zu gestalten. Dies stellt eine Weiterentwicklung ähnlicher Methoden dar, die bereits im Mai 2024 beobachtet wurden. Bei den jüngsten Angriffen installierte die Lazarus-Gruppe verschiedene ASP-Format-Web-Shells, darunter eine modifizierte Version der ‘RedHat Hacker’ Web-Shell, die als ‘function2.asp’ gespeichert ist. Besonders auffällig ist die Änderung des Authentifizierungsmechanismus; anstelle von ‘1234qwer’ kommt nun ‘2345rdx’ zum Einsatz.
Technische Raffinessen der Angriffe
Die eingesetzten Web-Shells, unter anderem ‘file_uploader_ok.asp’ und ‘find_pwd.asp’, bieten den Angreifern umfangreiche Möglichkeiten zur Manipulation von Dateien, zur Durchführung von Prozessoperationen und SQL-Abfragen. Zum Schutz vor Entdeckung nutzen diese Web-Shells Verschleierungstechniken und bleiben im VBE-Format kodiert. Der bösartige Code ist so gestaltet, dass er Initialisierungspakete überprüft und das erste Byte als Verschlüsselungsschlüssel verwendet, was die Identifizierung der Malware erheblich erschwert.
Die Infektionskette startet, indem die Web-Shell aktiviert wird und die Malware namens LazarLoader über den w3wp.exe-Prozess des IIS-Webservers bereitgestellt wird. Eine kritische Komponente der Angriffe ist die Privilegieneskalation durch die Malware-Komponente ‘sup.etl’, die UAC-Bypass-Techniken anwendet. Diese Methoden werden durch das Ausnutzen einer Schwachstelle im INISAFE CrossWeb EX V6-Softwarepaket der Nutzer weiter verstärkt, wodurch die Installation von ’SCSKAppLink.dll’ erfolgt, welche weiteren bösartigen Code über externe Quellen herunterladen kann, wie von Cyware berichtet.
Wachsende Bedrohungen
Die Angriffe der Lazarus-Gruppe sind nicht nur auf südkoreanische Server beschränkt. Die Gruppe hat sich auch einen Namen in der internationalen Cyberkriminalität gemacht und wird für mehrere hochkarätige Vorfälle verantwortlich gemacht, darunter die umfassende Verletzung von JumpCloud und den Diebstahl von über 35 Millionen US-Dollar in Kryptowährung aus einem Angriff auf Atomic Wallet. Sicherheitsanbieter Kaspersky warnt zudem vor weiteren Angriffswellen, die sich gegen Mac-Nutzer richten könnten, die sich bislang sicher fühlten. Diese Angriffe erfolgen durch verseuchte Anwendungen, Phishing und Social Engineering, wobei die Gefahr der Angriffe stetig steigt.
Experten raten IT-Administratoren, Webserver regelmäßig auf Schwachstellen zu überprüfen, strenge Zugangskontrollen einzuführen und regelmäßige Passwortwechsel durchzuführen. Eine robuste Überwachung verdächtiger Prozess-Erstellungsketten, insbesondere bei Prozessen wie w3wp.exe, ist unerlässlich, um potenzielle Bedrohungen rechtzeitig zu erkennen. In der aktuellen Bedrohungslage geäußerte Sicherheitsmaßnahmen umfassen unter anderem die Aufklärung der Mitarbeiter über aktuelle Angriffsmethoden und die Implementierung aktueller Sicherheitssoftware und Firewalls.
