Die Lazarus-Gruppe, ein von Nordkorea gesponserter APT-Akteur, hat im Januar 2025 eine Reihe von Cyberangriffen auf südkoreanische Webserver durchgeführt. Ziel dieser Angriffe sind ASP-basierte Web-Shells, die als erste Stufe für eine Command-and-Control-Infrastruktur dienen. Die Hacker haben dabei gezielt Internet Information Services (IIS) Server in Südkorea kompromittiert, wie IT-Boltwise berichtete.
Diese Angriffe stellen eine Weiterentwicklung der bereits im Mai 2024 beobachteten Techniken dar. Laut dem AhnLab Security Intelligence Centre (ASEC) wurden mehrere Web-Shells im ASP-Format installiert, darunter eine modifizierte Version der ‚RedHat Hacker‘ Web-Shell, die als ‚function2.asp‘ gespeichert ist. Diese neue Web-Shell-Version nutzt nun ‚2345rdx‘ als Authentifizierungsmechanismus, im Gegensatz zu früheren Varianten mit ‚1234qwer‘. Weitere eingesetzte Web-Shells sind ‚file_uploader_ok.asp‘ und ‚find_pwd.asp‘, die den Angreifern Möglichkeiten zur Dateimanipulation, Prozessoperationen und SQL-Abfragen bieten.
Details zu den Cyberangriffen
Die Web-Shells verwenden Verschleierungstechniken und sind im VBE-Format kodiert, was die Erkennung erschwert. Der bösartige Code überprüft Initialisierungspakete und nutzt das erste Byte als Verschlüsselungsschlüssel. Die Angreifer setzen die Malware LazarLoader ein, um weitere Nutzlasten herunterzuladen und im Speicher auszuführen. Die Infektionskette beginnt mit der Installation der Web-Shells und der Bereitstellung von LazarLoader über den w3wp.exe IIS-Webserver-Prozess.
Ein wichtiger Aspekt der Angriffe ist die Privilegieneskalation, die durch die Malware-Komponente ‘sup.etl’ erreicht wird, die UAC-Bypass-Techniken anwendet. Experten raten Administratoren, Webserver auf Schwachstellen zu überprüfen, regelmäßige Passwortrotation und strenge Zugriffskontrollen zu implementieren. Darüber hinaus sollten Organisationen eine robuste Überwachung auf verdächtige Prozess-Erstellungsketten einrichten, insbesondere bei w3wp.exe.
Zusätzlich zu den Angriffen auf südkoreanische Webserver nutzt die Lazarus-Gruppe auch die Watering-Hole-Technik, um Zugriff auf Systeme zu erhalten, indem sie koreanische Websites kompromittiert und deren Inhalte verändert. Dies geschieht unter Ausnutzung einer Schwachstelle in der INISAFE CrossWeb EX V6-Software, wie Cyware meldete.
Wenn Benutzer mit anfälligen Versionen von INISAFE CrossWeb EX V6 die kompromittierten Seiten besuchen, wird die Lazarus-Malware (SCSKAppLink.dll) über die Schwachstelle im INISAFECrossWebEXSvc.exe installiert. Um Privilegien zu eskalieren, setzt Lazarus die mit Themida gepackte Malware JuicyPotato ein. Nach dem Eindringen in Systeme installiert die Gruppe die Malware „SCSKAppLink.dll“, die als Downloader für zusätzliche Malware-Stämme von externen Quellen dient. Zudem wird der Lazarus-Gruppe auch der Angriff auf JumpCloud zugeschrieben, der zur Zurücksetzung von API-Keys und anderen Sicherheitsmaßnahmen führte. Im Juni wurde Lazarus zudem ein Angriff auf Atomic Wallet zugeschrieben, bei dem mindestens 35 Millionen Dollar in Kryptowährung gestohlen wurden.
