Beobachtungen
Das südkoreanische IT-Sicherheitsunternehmen ENKI
Whitehat meldet, dass es eine neue Variante der Lazarus-Malware ComeBacker entdeckt hat, welche ursprünglich als maliziöse
Domain festgestellt wurde. Die Malware wird über .docx-Dokumente verbreitet, die sich auf bekannte Luft- und Raumfahrt- sowie
Rüstungsunternehmen beziehen.
Methoden
ENKI Whitehat berichtete zunächst über eine maliziöse Domain, die sie der Lazarus-Gruppe zuschrieben. Im Juni 2025
analysierten sie daraufhin diverse .docx-Dateien, die auf ebendieser Domain gehostet wurden. Dabei haben sie eine mehrstufige
Malware-Infektionskette erkannt, die eine neue Variante der ComeBacker-Backdoor einsetzt. Weiterhin wurde eine zusätzliche
C&C-Domäne identifiziert. Wenn eine der maliziösen .docx-Dateien mit den zugehörigen Makros geöffnet wird, wird der
eingebettete VBA-Code ausgeführt. Eine Loader-DLL und ein Täuschungsdokument werden auf dem System gespeichert. Das Makro
führt anschließend die Loader-DLL aus und öffnet ein Täuschungsdokument, das im Zusammenhang mit bekannten
Rüstungs- sowie Luft- und Raumfahrtunternehmen steht. Die initiierte komplexe, mehrstufige Infektionskette überträgt die
ComeBacker-Backdoor auf das Zielsystem. ENKI Whitehat stellt die Methodik ausführlich dar.
Attribution
Nach Angaben von ENKI Whitehat handelt es sich um eine Spionagekampagne der Gruppierung Lazarus gegen die Rüstungs- sowie Luft- und
Raumfahrtbranche mittels Spear-Phishing.
Empfehlungen
Unternehmen in der Rüstungs- sowie Luft- und Raumfahrtbranche sind einem erhöhten Risiko durch diese seit März 2025
anhaltende Bedrohung ausgesetzt. Wir empfehlen daher die folgenden Maßnahmen:
- Abwehrmaßnahmen gegen makrobasierte Bedrohungen: Es sollten robuste und strikte Makrorichtlinien zur Verhinderung der Ausführung makrobasierter Malware implementiert werden.
- Schulungen: Mitarbeiter sollten in der Identifikation von Spear-Phishing-Kampagnen geschult werden.
- Fortlaufendes Monitoring und Überprüfung der eigenen Systeme: ENKI Whitehat stellt für eine Monitoring und das Überprüfen eigener Systeme zahlreiche Indicators of Compromise (IOCs) zur Verfügung.
- Unterstützung durch Sicherheitsbehörden: Im Falle des Verdachts einer Kompromittierung wenden Sie sich an Ihre zuständige Sicherheitsbehörde.