Kaspersky-Sicherheitsforscher haben eine signifikante Ausweitung der DreamJob-Kampagne durch die nordkoreanische Hackergruppe Lazarus aufgedeckt. Die Angreifer haben ihre Taktik verfeinert und zielen nun verstärkt auf Unternehmen der Nuklearindustrie ab, was eine besorgniserregende Entwicklung in der Bedrohungslandschaft darstellt.
Strategische Neuausrichtung der Kampagne
Die seit 2019 aktive DreamJob-Operation hat ihre geografische Reichweite deutlich erweitert. Während anfänglich Kryptowährungsunternehmen im Fokus standen, richtet sich die aktuelle Angriffswelle gezielt gegen Nuklearanlagen in Brasilien. Die Kampagne umfasst mittlerweile auch Ziele in Europa, Lateinamerika, Südkorea und Afrika, mit besonderem Schwerpunkt auf IT-Infrastruktur und Verteidigungsindustrie.
Innovative Angriffsmethoden und Malware-Arsenal
Die Angreifer haben eine komplexe mehrstufige Infektionskette entwickelt, die auf legitim erscheinenden Remote-Access-Tools basiert. Der Angriffsvektor beginnt mit der Ausführung von AmazonVNC.exe und nutzt anschließend spezialisierte Loader wie Ranid Downloader zur Installation der Schadmodule MISTPEN, RollMid und LPEClient.
CookiePlus: Fortschrittlicher Backdoor-Mechanismus
Besonders bemerkenswert ist die Entdeckung des neuartigen Backdoors CookiePlus, der sich als Notepad++-Plugin tarnt. Diese Malware zeichnet sich durch fortgeschrittene Funktionen zur Systemüberwachung und die Fähigkeit zur permanenten Kompromittierung durch Manipulation von Konfigurationsdateien aus. Die ausgeklügelte Tarnung und Funktionalität erschweren die Erkennung durch konventionelle Sicherheitssysteme erheblich.
Die aktuelle Entwicklung der DreamJob-Kampagne unterstreicht die Notwendigkeit eines mehrschichtigen Sicherheitsansatzes für Organisationen. Unternehmen sollten ihre Sicherheitsstrategien überdenken und verstärkt auf proaktive Erkennungsmethoden, kontinuierliches Monitoring verdächtiger Aktivitäten sowie regelmäßige Sicherheitsaudits setzen. Besonders Betreiber kritischer Infrastrukturen müssen ihre Cybersicherheitsmaßnahmen an die evolvierende Bedrohungslage anpassen und spezifische Schutzmaßnahmen gegen gezielte Spionageangriffe implementieren.
