ThreatNeedle Malware
Die ThreatNeedle Malware ist eine Backdoor-Bedrohung, die Infosec-Forscher als Teil des bedrohlichen Arsenals der nordkoreanischen ATP-Gruppe (Advanced Persistent Threat) namens Lazarus (auch bekannt als APT38 und Hidden Cobra) beobachtet haben. Das erste Mal, dass diese bestimmte Malware bei einem aktiven Angriff eingesetzt wurde, war im Jahr 2018, als Lazarus einen Kryptowährungsaustausch in Hongkong und einen Entwickler von Handyspielen ins Visier nahm.
In ihrer letzten Operation haben die Hacker wieder die ThreatNeedle-Malware verwendet. Dieses Mal zielt die Angriffskampagne auf Ziele der Verteidigungsindustrie in über einem Dutzend Ländern auf der ganzen Welt ab. Um die ausgewählten Ziele zu infiltrieren, verwendet Lazarus ein fein ausgearbeitetes Spear-Phishing-Schema. Die Hacker sammeln Social-Media-Informationen zu einem ausgewählten Mitarbeiter und senden dann eine angepasste E-Mail-Nachricht, die so aussieht, als ob sie von der Organisation des Mitarbeiters gesendet wurde. Die E-Mail enthält entweder ein mit Malware geschnürtes Word-Dokument oder einen Link zu einem Remote-Server, der von den Hackern kontrolliert wird. Durch Öffnen des Dokuments oder Klicken auf den Link wird der erste Teil einer mehrstufigen Angriffskette eingeleitet.
Während dieses Angriffsschritts führt Lazarus hauptsächlich eine erste Aufklärung durch. Anschließend wird festgestellt, ob der Angriff eskaliert, indem zusätzliche Malware auf das gefährdete System abgelegt und seitlich durch das interne Netzwerk verschoben wird. Mit ThreatNeedle können die Hacker die volle Kontrolle über das System erlangen, beliebige Befehle ausführen, die Datei- und Verzeichnissysteme manipulieren, Daten sammeln und exfiltrieren, die Backdoor-Prozesse steuern und das infizierte Gerät zwingen, in den Ruhezustand zu wechseln oder in den Ruhemodus zu wechseln.
Der bedrohlichste Aspekt dieser neuesten Operation von Lazarus ist die Fähigkeit der Hacker, die Netzwerksegmentierung zu überwinden. Dies bedeutet, dass selbst wenn die Zielorganisation ihr internes Netzwerk in einen Teil aufgeteilt hat, der mit dem öffentlichen Internet verbunden ist, und einen Abschnitt, der isoliert ist. Der Verstoß wird ausgeführt, indem die Kontrolle über ein internes Router-Gerät übernommen und als Proxyserver konfiguriert wird. Die Angreifer können dann die vom Intranet-Netzwerk gesammelten Daten auf ihren Remote-Server übertragen.
