Die nordkoreanische Hackergruppe Lazarus hat im Januar 2025 eine Serie raffinierter Cyberangriffe auf südkoreanische Webserver durchgeführt. Diese Angriffe sind Teil einer anhaltenden Kampagne, die ihre Techniken kontinuierlich verfeinert. Insbesondere zielten die Angreifer auf ASP-basierte Web-Shells, die als erste Stufe ihrer Command-and-Control-Infrastruktur agieren. Ziel der Angriffe sind primär die Windows Internet Information Services (IIS) Server, die sich als besonders anfällig erwiesen.
Wie it-boltwise.de berichtet, wurden im Rahmen dieser Angriffe mehrere ASP-Web-Shells installiert, darunter eine modifizierte Version der sogenannten „RedHat Hacker“ Web-Shell, gespeichert unter dem Namen „function2.asp“. Diese neue Variante verwendet „2345rdx“ als Authentifizierungsmechanismus, was eine signifikante Änderung zu früheren Versionen mit „1234qwer“ darstellt. Außerdem kamen Web-Shells wie „file_uploader_ok.asp“ und „find_pwd.asp“ zum Einsatz, die den Angreifern umfassende Möglichkeiten zur Dateimanipulation, Prozessoperationen und SQL-Abfragen bieten.
Techniken und Strategien der Angreifer
Die Hackergruppe setzt fortgeschrittene Verschleierungstechniken ein, die eine Erkennung ihrer Aktivitäten erschweren. Der bösartige Code innerhalb dieser Web-Shells nutzt ein VBE-Format zur Kodierung, das eine frühzeitige Entdeckung unterbindet. Laut den Analyseergebnissen des AhnLab Security Intelligence Centre (ASEC) beginnt die Infektionskette mit der Installation der Web-Shell, gefolgt von der Bereitstellung des sogenannten LazarLoader über den w3wp.exe IIS-Webserver-Prozess, um zusätzliche Malware herunterzuladen und im Speicher auszuführen.
Ein enormes Sicherheitsrisiko birgt zudem die Malware-Komponente „sup.etl“, die Privilegieneskalation durch UAC-Bypass-Techniken ermöglicht. Um diese Angriffe zu verhindern, raten Sicherheitsexperten den Administratoren, ihre Webserver gründlich auf Schwachstellen zu prüfen, regelmäßige Passwortrotation durchzuführen und strenge Zugriffskontrollen zu implementieren.
Es sind nicht nur die IIS-Server betroffen. Cyware berichtet, dass die Lazarus-Gruppe auch eine Schwachstelle in der Software INISAFE CrossWeb EX V6 ausnutzt, um über kompromittierte Webseiten Malware zu verteilen. Die Angreifer verwenden die Technik des „Watering Hole“, wobei sie zunächst koreanische Webseiten manipulieren, um dann beim Zugriff der Nutzer mit verwundbaren Versionen der Software die Malware „SCSKAppLink.dll“ zu installieren. Diese agiert als Downloader für weitere Malware.
Nachhaltige Bedrohung durch Lazarus
Die Aktivitäten der Lazarus-Gruppe zeigen, dass sie sich nicht nur auf spezifische Plattformen beschränken, sondern auch neue Angriffsvektoren aufbauen. Die Ermittlungen belegen, dass die Gruppe zuvor auch für die Datenpanne bei JumpCloud verantwortlich gemacht wurde, was zur Rücksetzung von API-Schlüsseln und zur Verschärfung von Sicherheitsmaßnahmen führte. Zudem wird sie mit dem Diebstahl von über 35 Millionen US-Dollar während eines Angriffs auf Atomic Wallet in Verbindung gebracht.
Die Bedeutung der Sicherheitsvorkehrungen wird besonders vor dem Hintergrund der Expertise der Lazarus-Gruppe deutlich. Diese gilt als eine der erfolgreichsten Cyberkriminellen-Gruppen weltweit, wie it-service.network feststellt. Die Organisation hat nicht nur in der Vergangenheit durch raffinierte Angriffe auf Kryptowährungsunternehmen Aufsehen erregt, sondern zeigt auch eine Fähigkeit zur kontinuierlichen Anpassung an sich verändernde Sicherheitslandschaften.
Um dem wachsenden Risiko entgegenzuwirken, empfiehlt Kaspersky, regelmäßig Mitarbeiterschulungen über aktuelle Bedrohungen durchzuführen, die neuesten Sicherheitssoftware und Firewalls einzusetzen sowie umfassende Sicherheitskonzepte und Schwachstellenanalysen zu implementieren. Angesichts der ständigen Weiterentwicklung und Optimierung der Malware durch die Lazarus-Gruppe bleibt das Thema Cybersecurity von höchster Dringlichkeit.
