Das hier ist ein vollständig KI generierter Artikel.

In den letzten Jahren haben Fox-IT und die NCC Group mehrere Vorfälle untersucht, bei denen eine Untergruppe von Lazarus gezielt Organisationen im Finanz- und Kryptowährungssektor angegriffen hat. Diese Gruppe nutzt verschiedene Remote-Access-Trojaner (RATs) in ihren Operationen, bekannt als PondRAT, ThemeForestRAT und RemotePE.

Ein Vorfall aus dem Jahr 2024

Im Jahr 2024 untersuchte Fox-IT einen Vorfall bei einer Organisation im Bereich der dezentralen Finanzen (DeFi). Ein Mitarbeiter wurde durch Social Engineering kompromittiert, woraufhin der Angreifer verschiedene RATs einsetzte, um das Netzwerk zu erkunden und Anmeldedaten zu sammeln. Schließlich wechselte der Angreifer zu einem fortschrittlicheren RAT, was auf eine nächste Phase des Angriffs hindeutet.

Die drei RATs im Detail

  • PondRAT: Dieser RAT erhielt im letzten Jahr viel Aufmerksamkeit. Er wurde auf der Festplatte gespeichert, während ThemeForestRAT nur im Speicher lief.
  • ThemeForestRAT: Seit mindestens sechs Jahren im Einsatz, jedoch bisher nicht öffentlich diskutiert.
  • RemotePE: Ein fortschrittlicherer RAT, der nach der Bereinigung von PondRAT und ThemeForestRAT installiert wurde.

Social Engineering als Zugangsmethode

Die Angreifer nutzten Social Engineering, indem sie sich als Mitarbeiter von Investmentfirmen auf Telegram ausgaben. Sie erstellten gefälschte Websites, um Meetings mit den Opfern zu arrangieren. Möglicherweise wurde eine Zero-Day-Schwachstelle in Chrome ausgenutzt, um Code auf den Maschinen der Opfer auszuführen.

Fazit

Die Aktivitäten dieser Lazarus-Untergruppe zeigen ihre fortgeschrittenen Fähigkeiten und Entschlossenheit. Die Verwendung von Social Engineering und fortschrittlichen RATs unterstreicht die Notwendigkeit, die Sicherheitsmaßnahmen in Organisationen zu verstärken, um solchen Bedrohungen entgegenzuwirken.

Quelle: https://blog.fox-it.com/2025/09/01/three-lazarus-rats-coming-for-your-cheese/