APT-Gruppe Lazarus setzt neue Backdoor auch gegen Ziele in Europa ein

Nächste PM

Die Malware-Forscher des IT-Sicherheitsherstellers ESET haben eine neue gefährliche Malware der berüchtigten APT-Gruppe Lazarus (Advanced Persistent Threat) aufgedeckt. Das vermehrte Auftreten in Südkorea, der Code und das Verhalten der Backdoor „WinorDLL64“ lassen darauf schließen, dass es sich um die mit Nordkorea verbündete Hackerbande handelt. Die Backdoor wird aber auch für gezielte Angriffe im Nahen Osten und Europa eingesetzt. In den ESET-Forschungseinrichtungen in Tschechien wurden erst kürzlich weitere Entdeckungen von WinorDLL64 verzeichnet.

Der Schadcode kann Dateien exfiltrieren, überschreiben und entfernen, Befehle ausführen und umfangreiche Informationen über das zugrunde liegende System sammeln. WinorDLL64 ist eines der Bestandteile des ominösen Wslink Downloaders. „Wslink ist ein sogenannter Loader für Windows-Binärdateien, der im Gegensatz zu anderen derartigen Loadern als Server läuft und empfangene Module im Speicher ausführt. Wie der Wortlaut schon sagt, dient ein Loader als Werkzeug, um eine Nutzlast oder die eigentliche Malware auf das bereits kompromittierte System zu laden“, erklärt ESET-Forscher Vladislav Hrčka. „Die Nutzlast kann später für laterale Bewegungen im angegriffenen Netzwerk dienen, da sie ein besonderes Interesse an Netzwerksitzungen hat. Dabei lauscht Wslink auf einem in der Konfiguration angegebenen Port und kann zusätzliche Verbindungsclients bedienen und sogar verschiedene Payloads laden“, fügt er hinzu.

Über Lazarus

Die berüchtigte, mit Nordkorea verbündete Gruppe, ist seit mindestens 2009 aktiv und für viele, zum Teil spektakuläre Vorfälle wie den Hack von Sony Pictures Entertainment, die Cyberdiebstähle im Wert von mehreren zehn Millionen Dollar im Jahr 2016, den Ausbruch von WannaCryptor (auch bekannt als WannaCry) im Jahr 2017 und eine lange Reihe von Angriffen auf die öffentliche und kritische Infrastruktur Südkoreas seit mindestens 2011 verantwortlich. US-CERT und das FBI bezeichnen diese Gruppe als HIDDEN COBRA.

Weitere Informationen

Weitere technische Informationen über WinorDLL64 finden Sie in dem Blogbeitrag „WinorDLL64: Backdoor aus dem Lazarus Arsenal?“ auf WeLiveSecurity.de. 

www.welivesecurity.com/deutsch/2023/02/23/winordll64-backdoor-aus-dem-lazarus-arsenal

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Folgen Sie ESET:

https://www.ESET.de/
http://www.welivesecurity.de/
https://twitter.com/ESET_de
https://www.facebook.com/ESET.DACH

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.