Cloud-Attacken: 81 Millionen Login-Versuche gegen Azure-CLI
01.07.2026 - 15:18:16 | boerse-global.de
Die Hackergruppe Lazarus setzt damit ihre Entwicklung hochspezialisierter Angriffswerkzeuge fort.
Dreistufige Infektion ohne Spuren auf der Festplatte
RemotePE wird über eine komplexe Toolchain ausgeliefert. Ziel der Architektur: Digitale Spuren minimieren und Sicherheitstools austricksen.
Der Prozess startet mit dem DPAPILoader. Er nutzt die Windows Data Protection API (DPAPI), um die nächste Schadsoftware-Stufe zu entschlüsseln. Umgebungsspezifische Schlüssel stellen sicher, dass der Code nur auf dem anvisierten System läuft.
In Stufe zwei kommt der RemotePELoader zum Einsatz. Er kontaktiert den Command-and-Control-Server (C2) der Angreifer und entfernt aktive Sicherheits-Hooks. Dieser Schritt ist entscheidend für die Umgehung moderner EDR-Software, die verdächtige Aktivitäten überwacht.
Angriffe wie die der Lazarus-Gruppe zeigen, wie gezielt Cyberkriminelle heute menschliche und technische Schwachstellen ausnutzen. Erfahren Sie in diesem kostenlosen Report, welche psychologischen Tricks und Methoden Hacker aktuell anwenden, um Unternehmen zu infiltrieren. Aktuelle Methoden der Cyberkriminellen entlarven
Manuelle Steuerung in nordkoreanischer Arbeitszeit
Der eigentliche RAT ist in C++ geschrieben. Er bietet Dateiverwaltung, Prozesssteuerung, das Nachladen weiterer Plugins und die sichere Löschung von Daten.
Auffällig: Lazarus-Operationen erfordern oft eine explizite Genehmigung durch einen menschlichen Operator. Die Aktivitäten finden vornehmlich während der Arbeitszeiten in der Zeitzone UTC+9 statt – für Experten ein weiterer Hinweis auf die geografische Herkunft.
Das Sicherheitsunternehmen Fox-IT hat YARA-Regeln und Indikatoren für eine Kompromittierung (IoCs) veröffentlicht, um Unternehmen bei der Erkennung zu helfen.
Parallel laufen großflächige Cloud-Angriffe
Die Entdeckung reiht sich in eine Serie staatlich organisierter Hacker-Aktivitäten ein. Während Lazarus mit Speicher-Tools operiert, nutzen Gruppen wie SloppyLemming oder China-nahe Akteure vermehrt Infrastrukturen in Südostasien und Osteuropa.
Sicherheitsforscher beobachten zudem die Ausnutzung bekannter Schwachstellen. Eine Lücke in WinRAR (CVE-2025-8088) ermöglicht Pfadzugriff über alternative NTFS-Datenströme und wird für zerstörerische Angriffe mit Wiper-Malware genutzt. Obwohl der Patch seit letztem Jahr verfügbar ist, bleibt sie ein Einfallstor für Gruppen wie Gamaredon.
Da immer mehr Unternehmen Opfer hochspezialisierter Cyberangriffe werden, ist eine proaktive Absicherung der IT-Infrastruktur unerlässlich. Dieser kostenlose Praxis-Guide hilft Ihnen dabei, bestehende Sicherheitslücken zu schließen und Ihr Unternehmen langfristig vor Bedrohungen zu schützen. Kostenlose Checkliste zur IT-Sicherheit herunterladen
Zusätzlich warnt die Branche vor massiven Angriffen auf Cloud-Infrastrukturen. Eine Kampagne unternahm über 81 Millionen Login-Versuche gegen die Azure-Befehlszeilenschnittstelle (CLI). Die Angreifer kompromittierten durch Passwort-Spraying mehrere Dutzend Konten – dort, wo keine Mehrfaktor-Authentifizierung konfiguriert war.
