Willkommen bei IT-Branchen – Der Kanal für IT-News, Cybersecurity und digitale Trends

Für Unternehmen, Lieferanten und Entscheider der IT-Branche

Digitale Strategie und Insights für Entscheider der IT-Branche

Abonnieren

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Abonnieren
Facebook Twitter Instagram LinkedIn Pinterest
Kontaktieren Sie uns

Kimsuky und Lazarus stecken hinter neuen Hintertürangriffen

IT-BranchevonIT-Branche
31. Oktober 2025
Cyberangriff von Kimsuky und Lazarus – fortgeschrittene Bedrohungsakteure zielen auf Entwickler ab Cyberangriff von Kimsuky und Lazarus – fortgeschrittene Bedrohungsakteure zielen auf Entwickler ab
Die Angriffe der Kimsuky- und Lazarus-Gruppen auf Entwickler und CI/CD-Umgebungen.

Nordkoreanische Hackergruppen Kimsuky und Lazarus hat seine Cyberoperationen durch die Entwicklung neuer, hochentwickelter Hintertür-Tools für den Fernzugriff intensiviert. Die neuen Varianten – http://Troy Und BLINDINGCAN — zeigt, wie diese staatlich geförderten Akteure ihre Methoden ständig verfeinern, um der Entdeckung zu entgehen und langfristigen Zugriff auf kompromittierte Systeme zu erhalten.

Bedrohungsanalysten haben zwei unterschiedliche Tools identifiziert: Kimsukys neues http://Troy-Hintertür und die aufgerüstete Lazarus-Gruppe BLINDINGCAN-Variante. Beide stellen den nächsten Schritt im Cyberarsenal Nordkoreas dar und werden bei gezielten Angriffen gegen strategische Ziele in mehreren Ländern eingesetzt.

Ein Organigramm mit dem Titel 'Demokratische Volksrepublik Korea (DVRK, auch Nordkorea genannt): Bedrohungsakteure unter dem Aufklärungsgeneralbüro'. Das Organigramm veranschaulicht die Verbindung zwischen dem Aufklärungsgeneralbüro und verschiedenen Cyber-Bedrohungsgruppen wie Alluring Pisces, Gleaming Pisces, Jumpy Pisces, Selective Pisces, Slow Pisces und Sparkling Pisces, die jeweils mit zugehörigen Aliasnamen versehen sind.

Kimsuky-Kampagne: Social Engineering und HttpTroy

Die Operation von Kimsuky Ziel des Angriffs war ein bestimmtes Opfer in Südkorea. Die Angriffskette begann mit einem ZIP-Archiv, das als VPN-Rechnung getarnt war. Beim Öffnen der Datei wurde eine Kette schädlicher Prozesse gestartet, die schließlich installierten. http://Troy, eine Hintertür, die Angreifern die volle Kontrolle über das System ermöglicht.

Kimsuky und Lazarus hinter neuen Backdoor-Angriffen | IT-Branche
Werbung

Die anfängliche Infektion nutzte eine leichte Go-basierter Dropper Das Programm zeigte ein legitimes PDF-Dokument an, um den Benutzer zu täuschen. Es nutzte einfache XOR-Verschlüsselung (Schlüssel 0x39), um seine eingebetteten Nutzdaten zu entschlüsseln und anschließend über einen geplanten Task, der Antiviren-Updates von AhnLab imitierte, dauerhafte Verfügbarkeit herzustellen.

HttpTroy bietet Funktionen zum Hoch- und Herunterladen von Dateien, zum Erstellen von Screenshots, zum Ausführen von Befehlen, zum Exfiltrieren von Daten und zum Löschen von Spuren. Die gesamte Kommunikation erfolgt über HTTP-POST-Anfragen mit XOR- und Base64-Verschlüsselung.

Memload_V3.

Die aktualisierte BLINDINGCAN der Lazarus Group

Gleichzeitig wurde Folgendes beobachtet: Lazarus-Gruppe einen parallelen Angriff in Kanada durchführen, wo eine verbesserte Version von Das Fernzugriffstool BLINDINGCAN wurde verwendet. Die Forscher entdeckten außerdem eine neue Comebacker-Schadensprogramm Dies ermöglichte die Auslieferung von BLINDINGCAN. Diese Variante verfügt über verbesserte Mechanismen zur Datenerfassung und Fernsteuerung und stärkt so die langfristigen Spionagefähigkeiten von Lazarus.

Beide Kimsuky und Lazarus Sie nutzen ausgefeilte Methoden, um die Analyse zu erschweren, darunter API-Hashing, dynamische String-Rekonstruktion und SIMD-basierte Verschleierung. Ihr Ziel ist klar: Aktivitäten zu verbergen und den Zugriff auf Systeme mit hoher Priorität so lange wie möglich aufrechtzuerhalten.

Kommando- und Kontrollserver.

Die Bedrohungsakteure aus Nordkorea entwickeln sich ständig weiter

Die beiden Kampagnen verdeutlichen eine besorgniserregende Entwicklung in der Art und Weise, wie Nordkoreanische Bedrohungsakteure passt sich modernen Sicherheitslösungen an. Durch die Kombination von Social Engineering, maßgeschneiderter Malware und mehrschichtiger Verschleierung setzt es seine Wirkung fort. Kimsuky und Lazarus eine erhebliche globale Bedrohung darzustellen.

Sicherheitsexperten empfehlen mehrere Gegenmaßnahmen:

  • Seien Sie misstrauisch gegenüber unerwarteten E-Mail-Anhängen, insbesondere ZIP-Dateien.
  • Denken Sie daran, dass Dateien mit der Dateiendung .scr ausführbare Programme sind.
  • Halten Sie Sicherheitssoftware und Bedrohungsinformationen auf dem neuesten Stand.
  • Implementieren Sie eine Verhaltenserkennung, die verdächtige Prozesse nach einem Einbruch aufdecken kann.

Das Aufkommen dieser neuen Werkzeuge bestätigt die beständige und anpassungsfähige Natur von Kimsuky und Lazarus. Ihre Arbeit unterstreicht die Bedeutung kontinuierlicher Bedrohungsanalyse, fortschrittlicher Überwachung und starker Cybersicherheit in allen Organisationen.
Die IT-Branche beobachtet weiterhin die Entwicklungen rund um Nordkorea Cyberaktivitäten und deren Auswirkungen auf nordische und globale Unternehmen.

Advanced-Persistent-Threat-Profile-Lazarus-February-2024Herunterladen
Aktie
Aktie
Pin es
Tweet
Aktie
Aktie
IT-BranchevonIT-Branche
Veröffentlicht

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Convendum-Banner
Werbung

MEHR LESEN