Das Unternehmen Kaspersky hat kürzlich neue Ergänzungen zur Lazarus DreamJob-Kampagne entdeckt. Die Kriminellen haben zwei Personen ins Visier genommen, die in derselben nuklearbezogenen Firma arbeiten. Bei dem Angriff nutzten sie aktualisierte Malware, um Zugriff zu erhalten.

Die berüchtigte Lazarus-Gruppe, eine Bedrohungseinheit, die mit der Regierung Nordkoreas in Verbindung gebracht wird, wurde kürzlich dabei beobachtet, IT-Profis innerhalb derselben nuklearbezogenen Organisation mit neuen Malware-Varianten anzugreifen. Diese Angriffe scheinen eine Fortsetzung einer Kampagne zu sein, die erstmals 2020 unter dem Namen Operation DreamJob (auch bekannt als Deathnote) gestartet wurde, bei der die Angreifer gefälschte Stellenangebote erstellten und diese Traumpositionen Personen in Verteidigung, Luft- und Raumfahrt, Kryptowährung und anderen globalen Sektoren weltweit anboten. Sie würden über soziale Medien wie LinkedIn oder X Kontakt aufnehmen und mehrere Runden von „Interviews“ durchführen. Zu jedem Zeitpunkt während dieser Interviews würden den Opfern entweder ein Stück Malware oder trojanisierte Remote-Zugriffstools untergeschoben.

Das Ziel dieser Kampagne ist es, sensible Informationen oder Kryptowährung zu stehlen. Lazarus konnte unter anderem im Jahr 2022 etwa 600 Millionen Dollar von einem Kryptounternehmen stehlen. Wie Kaspersky in seinem neuesten Bericht erklärte, hat Lazarus in diesem Fall zwei Personen mit bösartigen Remote-Zugriffstools ins Visier genommen. Sie nutzten die Tools, um ein Stück Malware namens CookieTime einzuschleusen, das als Hintertür fungierte und es den Angreifern ermöglichte, verschiedene Befehle auf dem kompromittierten Endpunkt auszuführen. Dies gab ihnen die Möglichkeit, lateral im Netzwerk zu bewegen und mehrere zusätzliche Malware-Varianten herunterzuladen, wie z. B. LPE-Client, Charamel Loader, ServiceChanger und eine aktualisierte Version von CookiePlus. Kaspersky sagt, dass CookiePlus besonders interessant ist, da es sich um ein neues, pluginbasiertes bösartiges Programm handelt, das bei der jüngsten Untersuchung entdeckt wurde. Es wurde sowohl von ServiceChanger als auch von Charamel Loader geladen, wobei Varianten je nach Loader unterschiedlich ausgeführt wurden. Da CookiePlus als Downloader fungiert, ist seine Funktionalität begrenzt und es überträgt minimale Informationen. Die Angriffe fanden im Januar 2024 statt, was bedeutet, dass Lazarus eine weiterhin ernstzunehmende Bedrohung aus Nordkorea darstellt.

Via The Hacker News