Angriffe aus Nordkorea

Cisco entdeckt neue Spionage-Malware

Mithilfe eines nur schwer erkennbaren Remote-Access-Trojaners spioniert die Hackergruppe Lazarus Energiekonzerne aus.
Von 
CSO | 12. September 2022 14:13 Uhr
Die Hackergruppe Lazarus verschafft sich mithilfe eines Remote-Access-Trojaners Zugriff auf Systeme von Energieunternehmen und spioniert diese aus.
Die Hackergruppe Lazarus verschafft sich mithilfe eines Remote-Access-Trojaners Zugriff auf Systeme von Energieunternehmen und spioniert diese aus.
Foto: Preechar Bowonkitwanchai - shutterstock.com

Die Sicherheitsforscher von Cisco haben einen neuen Fernzugriffstrojaner (Remote Access Trojan, RAT) entdeckt, der von der Hackergruppe Lazarus eingesetzt wird, die im Zusammenhang mit der nordkoreanischen Regierung steht. Wie die Analysten in ihrem Bericht schreiben, nutzten die Cyberkriminellen die Sicherheitslücke in der Java-Bibliothek Log4j aus und griffen Energiekonzerne in Kanada, Japan und den USA an.

Lesetipp: Log4Shell ist immer noch gefährlich

Lazarus greift VMware-Server an

Obwohl die Schwachstelle Log4Shell bereits im Dezember 2021 entdeckt wurde und schon kurz darauf Patches dafür veröffentlicht wurden, ist die Lücke immer noch gefährlich, da viele Unternehmen die Sicherheitsupdates nicht ausgeführt haben. Das bekommen laut Cisco nun Nutzer der Multicloud-Plattform Horizon von VMware zu spüren, die ihre Systeme nicht gepatcht haben. Denn Lazarus nutzt Log4Shell aus, um bekannte Malware wie VSingle und YamaBot, aber auch die neue Malware "MagicRAT" auf den Horizon-Servern zu installieren.

"In dieser Kampagne zielte Lazarus in erster Linie auf Energieunternehmen in Kanada, den USA und Japan ab", schreibt Cisco in dem Blogbeitrag. "Das Hauptziel dieser Angriffe war es wahrscheinlich, sich einen langfristigen Zugang zu Opfernetzwerken zu verschaffen, um Spionageoperationen zur Unterstützung der Ziele der nordkoreanischen Regierung durchzuführen."

Bereits im Juni diesen Jahres warnte die Cybersecurity and Infrastructure Security Agency (CISA) davor, dass mehrere Bedrohungsakteure über den Log4j-Fehler auf ungepatchte VMware-Horizon-Server abzielen.

Lesetipp: Chinesische Hacker spionieren russisches Militär aus

So bleibt MagicRAT unentdeckt

Die Malware mit dem Namen MagicRAT wurde den Sicherheitsforschern zufolge mit dem Framework "Qt" entwickelt, welches häufig zur Entwicklung grafischer Benutzeroberflächen für plattformübergreifende Anwendungen verwendet wird. Da der Trojaner keine grafische Benutzeroberfläche hat, glauben die Analysten, dass die Cyberkriminellen Qt verwendet haben, um die Erkennung der Malware zu erschweren. Da es bisher nur sehr wenige Beispiele von Malware gebe, die mit Qt programmiert wurden, sei es auch für Machine-Learning-Technologien und heuristische Analysen schwer, solche Angriffe zu erkennen.

Lesetipp: 12 Tipps für Ihr Schwachstellen-Management

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.