NineRAT-Malware zielt auf Systeme ab und nutzt Taktiken der Lazarus Hacker Group

Cisco Talos hat kürzlich eine neue Cyber-Kampagne der Lazarus Group mit dem Namen „Operation Blacksmith“ aufgedeckt. Bei dieser Operation kommen drei neuartige DLang-basierte Malware-Familien zum Einsatz, von denen zwei als Remote Access Trojaner (RATs) identifiziert wurden. Bemerkenswert ist, dass eines dieser RATs Telegram-Bots und -Kanäle als Mittel zur Befehls- und Kontrollkommunikation (C2) nutzt und den Spitznamen „NineRAT“ trägt, während das nicht auf Telegram basierende RAT die Bezeichnung „DLRAT“ trägt. Darüber hinaus wurde bei dem Vorgang ein DLang-basierter Downloader namens „BottomLoader“ identifiziert.

Diese Entdeckung markiert einen bedeutenden Wandel in der Taktik der Lazarus Group, einer nordkoreanischen APT-Gruppe (Advanced Persistent Threat). In den letzten 18 Monaten hat Cisco Talos drei verschiedene RATs bekannt gegeben, die mit unkonventionellen Technologien wie QtFramework, PowerBasic und der neuesten Ergänzung, DLang, entwickelt wurden.

Es wurden insbesondere Parallelen zwischen der Operation Blacksmith von Lazarus und den Taktiken, Techniken und Verfahren (TTPs) beobachtet, die mit der staatlich geförderten nordkoreanischen Gruppe Onyx Sleet verbunden sind, die auch als Andariel APT-Gruppe bekannt ist. Andariel gilt weithin als eine Untergruppe unter dem Dach von Lazarus. Diese Kampagne demonstriert die opportunistische Ausrichtung auf globale Unternehmen, die anfällige Infrastrukturen der Ausnutzung von Sicherheitslücken aussetzen, einschließlich der bekannten CVE-2021-44228 (Log4j). Lazarus zielte speziell auf Branchen wie das verarbeitende Gewerbe, die Landwirtschaft und die physische Sicherheit ab.

Operation Blacksmith beinhaltete die Ausnutzung von Log4j und führte eine bisher unbekannte DLang-basierte RAT, NineRAT, ein, die Telegram für die C2-Kommunikation nutzte. NineRAT wurde ursprünglich etwa im Mai 2022 gebaut und etwa ein Jahr später erstmals in der Kampagne eingesetzt, wobei es im März 2023 auf ein südamerikanisches Agrarunternehmen und im September 2023 auf ein europäisches Produktionsunternehmen abzielte.

Analysen von Cisco Talos ergaben Überschneidungen mit böswilligen Angriffen, die Microsoft im Oktober 2023 bekannt gab und die Onyx Sleet zugeschrieben werden. Dies steht im Einklang mit dem umfassenderen Verständnis, dass die Lazarus APT als Dachorganisation agiert, die verschiedene Untergruppen umfasst, die jeweils unterschiedliche Ziele in Bezug auf Nordkoreas Verteidigung, Politik, nationale Sicherheit sowie Forschung und Entwicklung verfolgen.

Computerbenutzer, die von der NineRAT-Malware betroffen sind, sollten Maßnahmen ergreifen und ein Anti-Malware-Tool verwenden, um nicht nur zukünftige Angriffe zu verhindern, sondern die Bedrohung vollständig zu beseitigen.