Nordkoreanische Lazarus-Hacker mit ungewöhnlichem Angriff

30. Dezember, 2020
Nordkoreanische Lazarus-Hacker mit ungewöhnlichem Angriff

Forscher von ESET haben eine neue Angriffsmethode der nordkoreanischen Lazarus-Gruppe aufgedeckt. Die Hacker manipulierten Sicherheitssoftware, um sogenannte Software-Supply-Chain-Angriffe auszuführen. Ihre Ziele waren südkoreanische Webseiten, die die Sicherheitssoftware WIZVERA VeraPort sowie digitale Zertifikate benutzen.

Südkoreanische Internetnutzer müssen sehr oft bestimmte Sicherheitssoftware installieren, um Webseiten des öffentlichen Dienstes und Banken besuchen zu können. Als eine Erleichterung für Nutzer erfolgt der Vorgang über das Integrations-Installationsprogramm WIZVERA VeraPort. Ist WIZVERA VeraPort erst einmal installiert, nimmt sie die gesamte Softwareinstallation vor. Für den Besuch bestimmter Webseiten mit VeraPort sind beispielsweise diverse Browser-Plug-Ins und Software für die Sicherheits- und Identitätsprüfung nötig. Zum Starten einer solchen Softwareinstallation von einer Website mit WIZVERA VeraPort-Unterstützung, ist nur eine minimale Benutzerinteraktion erforderlich. Genau diese Software wurde von der Hackergruppe missbraucht.

Lazarus-Hacker nutzen illegale Code-Signing-Zertifikate

ESET-Forscher Peter Kálnai entdeckte Details zu der neuen Angriffsart der Gruppe. Demnach nutzt sie illegal erstandene Code-Signing-Zertifikate und tarnen damit ihre Schadprogramme als legitime Software. Laut Kálnai hat die Malware sogar ähnliche Dateinamen, Symbole und Ressourcen und ist nur schwer von der legitimen Software zu unterscheiden.

„Es ist die Kombination aus kompromittierten Webseiten mit WIZVERA VeraPort-Unterstützung und spezifischen VeraPort-Einstellungen, die es den Angreifern ermöglicht, diese Attacke durchzuführen“, schrieb Kálnai. Und zwar enthalten Webseiten mit WIZVERA VeraPort-Unterstützung serverseitige JavaScript-Dateien und eine WIZVERA-Konfigurationsdatei. Letztere ist eine Base64-codierte XML-Datei. Sie enthält die Web-Adresse, eine Liste der Software, die installiert werden muss, Download-URLs etc.

Die digitalen Zertifikate wurden von zwei Sicherheitsfirmen gestohlen. Die ESET-Forscher gehen davon aus, dass die beiden illegal erworbenen Codesignaturzertifikate von der Alexis Security Group und Dream Security USA gestohlen wurden. Letztgenannte US-Niederlassung von Wizvera.

So gingen die Lazarus-Hacker vor:

Als Erstes kompromittierten die Lazarus-Hacker eine Webseite, auf der die Wizvera-Software ausgeführt wird. Höchstwahrscheinlich geschah dies durch Spear-Phishing-Angriffe. Sobald sie auf im Zielserver Fuß gefasst hatten, begann die zweite Phase des Angriffs. Bösartige Binärdateien, die scheinbar legitim sind, verwenden gestohlene digitale Zertifikate. Sie wurden auf einer kompromittierten Website platziert und automatisch an ahnungslose Webseiten-Besucher weitergeleitet.

Dass das funktioniert, liegt an Folgendem: WIZVERA signiert seine Konfigurationsdateien digital. Sobald sie heruntergeladen wurden, überprüft sie erst einmal ein starker kryptografischer Algorithmus. Angreifer können den Inhalt dieser Dateien also nicht einfach verändern. Aber, sie können die Software komplett ersetzen.

Die WIZVERA VeraPort-Konfiguration enthält eine standardmäßig aktivierte Option zur Überprüfung der digitalen Signaturen heruntergeladener Binärdateien. Die Überprüfung findet vor der eigentlichen Ausführung statt. VeraPort überprüft aber nicht die Gültigkeit der digitalen Signatur. Sie überprüft nicht, wer der Eigentümer ist. Das öffnete den Lazarus-Hackern eine Angriffsmöglichkeit: Sie benötigten nur ein gültiges Code-Signatur-Zertifikat und konnten damit ihre getarnte Dropper-Malware einschleusen. Dieser extrahiert einen Downloader und die Konfigurationsdateien. Danach wird die zum Command-and-Control-Server der Hacker hergestellt, und der Remote Access Trojaner wird auf dem Rechner des Opfers bereitgestellt.

Ausblick über weitere Operationen der Lazarus-Gruppe

Dass die Forscher den Angriff der Lazarus-Gruppe zurechnen konnte, ergibt sich aus einigen Besonderheiten. Die KrCERT sieht den Angriff als Teil der sogenannten BookCodes-Operation. Aber Kaspersky verbindet die verwendete Malware, die Art der Opferauswahl und die genutzten Infrastrukturen des Angriffs mit der Lazarus-Gruppe.

Die Lazarus-Hacker haben großes Interesse an derartigen Supply-Chain-Angriffen. Damit ist es ihnen möglich, ihre Malware recht unaufwendig und unerkannt auf vielen Rechnern zu verbreiten. ESET schreibt:

„Wir können mit Sicherheit vorhersagen, dass die Anzahl der Supply-Chain-Angriffe in Zukunft zunehmen wird, insbesondere gegen Unternehmen, deren Dienstleistungen in bestimmten Regionen oder in bestimmten Branchen beliebt sind.“

Artikel von welivesecurity.com, 16.11.2020: Lazarus supply‑chain attack in South Korea
Artikel von zdnet.com, 16.11.2020: Lazarus malware strikes South Korean supply chains
Artikel von threatpost.com, 16.11.2020: Hacked Security Software Used in Novel South Korean Supply-Chain Attack
Artikel von securityweek.com, 16.11.2020: Lazarus Group Targets South Korea via Supply Chain Attack

 

Beitragsbild: Public Domain, Creative Commons CC0, Tima Miroshnichenko auf pexels.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen