Kaspersky-Sicherheitsforscher haben eine hochkomplexe Cyberspionage-Kampagne aufgedeckt, die gezielt südkoreanische Unternehmen ins Visier nimmt. Die als Operation SyncHole bezeichnete Angriffsserie wird der berüchtigten Lazarus-Gruppe zugeschrieben und kombiniert raffinierte Watering-Hole-Techniken mit der Ausnutzung von Schwachstellen in lokalspezifischer Software.
Weitreichende Angriffe auf strategische Wirtschaftssektoren
Die Untersuchungen zeigen, dass mindestens sechs Unternehmen aus Schlüsselsektoren der südkoreanischen Wirtschaft kompromittiert wurden. Zu den betroffenen Branchen gehören Softwareentwicklung, IT-Dienstleistungen, Finanzwesen, Halbleiterproduktion und Telekommunikation. Experten vermuten jedoch eine deutlich höhere Dunkelziffer an betroffenen Organisationen.
Ausgeklügelte Zwei-Phasen-Angriffsstrategie
Die Angreifer implementierten eine mehrstufige Kompromittierungsstrategie. In der ersten Phase infizierten sie legitime Nachrichtenwebseiten durch Watering-Hole-Angriffe. Anschließend nutzten sie Zero-Day-Schwachstellen in den weit verbreiteten Programmen Innorix Agent und Cross EX aus, die im südkoreanischen Internet häufig zum Einsatz kommen.
Ausnutzung regionaler Softwareanforderungen
Eine Besonderheit des südkoreanischen Internets ist die verpflichtende Nutzung spezieller Sicherheitssoftware für Online-Banking und Behördendienste. Die Lazarus-Gruppe demonstrierte fundierte Kenntnisse dieser regionalen Infrastruktur und entwickelte ihre Angriffsvektoren gezielt um diese Anforderungen herum.
Technische Details der Malware-Kampagne
Im Verlauf der Operation kamen zwei hochentwickelte Malware-Familien zum Einsatz: ThreatNeedle und SIGNBT. Die Schadsoftware wurde über den legitimen SyncHost.exe-Prozess als Unterprozess von Cross EX eingeschleust. Serverseitige Skripte filterten den Datenverkehr und leiteten ausgewählte Opfer auf kompromittierte Ressourcen um.
Dynamische Anpassung der Angriffstaktiken
Nach der initialen Entdeckung passte die Lazarus-Gruppe ihre Vorgehensweise an und verlagerte den Schwerpunkt von ThreatNeedle auf die aggressivere SIGNBT-Malware. Diese Entwicklung führte zu einer Ausweitung der Angriffsziele und einer erhöhten Angriffsfrequenz.
Der SyncHole-Vorfall unterstreicht die kritischen Sicherheitsrisiken, die von veralteter oder regional-spezifischer Software ausgehen. Besonders Browser-Plugins und Hilfsprogramme mit erhöhten Systemrechten stellen ein erhebliches Sicherheitsrisiko dar. Unternehmen wird dringend empfohlen, ihre Softwarekomponenten regelmäßig zu aktualisieren, umfassende Sicherheitsaudits durchzuführen und den Einsatz von Programmen mit erweiterten Systemprivilegien kritisch zu überprüfen. Die Implementation eines mehrschichtigen Sicherheitskonzepts sowie kontinuierliches Security-Monitoring sind essentiell, um ähnliche Angriffe frühzeitig zu erkennen und abzuwehren.
