Eine Hackergruppe mit Verbindungen zum nordkoreanischen Staat hat laut einem Cybersicherheitsbericht Online-Werbenetzwerke des US-Technologieunternehmens Google und des südkoreanischen Webportals Naver ausgenutzt, um ahnungslose Nutzer mit Schadsoftware an ahnungslose Nutzer zu liefern. Die Kampagne, die von Forschern als “Operation Poseidon” verfolgt wird, nutzte legitime Werbe-URLs, um bösartige Links zu erstellen, die Sicherheitsfilter umgehen und die Verbreitung von Malware verbergen.
Die Aktivität wurde von Genians Security Center einem in Südkorea ansässigen Cybersicherheitsunternehmen analysiert. Der Bericht führt die Operation Konni zu, einer fortschrittlichen, persistenten Bedrohungsgruppe, die mit von Pjöngjang unterstützten Cyberoperationen verbunden ist. Die Forscher fanden heraus, dass Angreifer Mechanismen zur Bereitstellung von Malware in Werbe-Klickverfolgungs- und Weiterleitungssysteme integrierten, die ein normaler Bestandteil der Online-Werbeinfrastruktur sind.
Anstatt Malware auf eindeutig bösartigen Domains zu hosten, nutzten die Angreifer Umleitungsketten, die mit scheinbar legitimen Werbelinks auf Google und Naver begannen. Diese Verbindungen leiteten die Opfer durch eine Reihe von Weiterleitungen, bevor sie auf angreifergesteuerten Servern landeten, die die Ausführung von Malware auslösten. Diese Methode ermöglichte es den Links, konventionelle Sicherheitskontrollen zu umgehen, die den Webverkehr auf Bedrohungen prüfen.
Die in der Kampagne identifizierte Malware-Nutzlast war EndRAT, ein Fernzugriffstool, das in getarnter Form geliefert wurde. Die Angreifer nutzten ein AutoIt-Skript, das sich als harmlose PDF-Datei tarnte, um die Malware auf Opfersystemen auszuführen. Die Forscher stellten fest, dass die Operation ein gewisses Maß an technischer Raffinesse zeigte, einschließlich Entwicklungskennungen, die auf eine fortlaufende Wartung und Weiterentwicklung des von den Hackern verwendeten Toolkits hindeuten.
Ein Teil der Strategie der Angreifer bestand aus Social-Engineering-Techniken, um die Wahrnehmung von Legitimität zu erhöhen. Laut dem Bericht enthielten die mit der Operation verbundenen E-Mails lange Blöcke irrelevanten englischen Textes, die darauf abzielten, automatisierte Erkennungssysteme zu verwirren und die Wahrscheinlichkeit zu verringern, dass Filter die Nachrichten als bösartig markieren.
Die Analyse von Genians verband die beobachtete Aktivität mit früheren Kampagnen von Konni, basierend auf Überschneidungen in Infrastruktur und Malware-Komponenten. Der Bericht erklärte, dass die Gruppe eine Geschichte von Angriffen auf Social Engineering hat, einschließlich der Imitation von Organisationen wie Menschenrechtsgruppen und Finanzinstituten in Südkorea.
Sicherheitsforscher haben einen breiteren Trend dokumentiert, dass Bedrohungsakteure vertrauenswürdige Plattformen und vertraute Arbeitsabläufe nutzen, um Malware zu verbreiten und der Entdeckung zu entgehen. In einigen jüngsten Vorfällen im Zusammenhang mit nordkoreanischen Gruppen haben böswillige Akteure auch Werkzeuge wie QR-Codes in Spear-Phishing-Kampagnen eingesetzt, um Unternehmenssicherheitskontrollen zu umgehen, indem sie Opfer auf bösartige Inhalte auf mobilen Geräten verwiesen haben.
Die Operation hebt die Herausforderungen hervor, komplexe Online-Werbeökosysteme gegen Missbrauch zu sichern. Werbeplattformen verlassen sich oft auf Umleitungs- und Tracking-Mechanismen, die von böswilligen Akteuren umfunktioniert werden können, um schädliche Aktivitäten zu verbergen. Der Bericht unterstreicht die Notwendigkeit verbesserter Überwachungs- und Bedrohungserkennungsfunktionen, die bösartigen Datenverkehr innerhalb legitim aussehender Werbeinfrastruktur identifizieren und blockieren können.
Der breitere Kontext der staatlich verbundenen Cyberoperationen, die nordkoreanischen Gruppen zugeschrieben werden, umfasst eine Reihe von Taktiken wie Spear-Phishing, die Verbreitung von Spyware und die Ausnutzung von Geräteverwaltungsdiensten, was eine sich entwickelnde Bedrohungsumgebung veranschaulicht, die Webnutzer und -organisationen weltweit ins Visier nimmt.