Warum stürzen millionenschwere Burgen mit einem einzigen Link ein? (Teil 2)
Wie die Lazarus-Gruppe ein einziges PDF einsetzte, um globale Banken ins Visier zu nehmen — und warum herkömmliche Sicherheitstools es nicht stoppen konnten.
Vor einigen Tagen haben wir darüber gesprochen, wie Google und Facebook um 120 Millionen Dollar betrogen wurden — durch gefälschte Rechnungslinks, die Unternehmens-E-Mail-Filter umgingen, und wie die agentic AI von PhiShark dies hätte verhindern können.
Doch an der Cyber-Front starten Angreifer nicht immer einen direkten Angriff mit einem offensichtlichen Link. Manchmal verstecken sie diesen vergifteten Link in einer Datei, die wir alle im Unternehmensalltag täglich dutzendfach öffnen — eine Datei, die völlig harmlos und vertrauenswürdig aussieht: ein PDF.
Diesmal betrachten wir eine der gefährlichsten Bedrohungsgruppen der Welt und wie globale Finanzinstitutionen durch sorgfältig vorbereitete Phishing-Dokumente ins Visier genommen wurden.
attachments.pdf: Das Lazarus-Playbook gegen globale Banken
Eine der berüchtigtsten Cyber-Bedrohungsgruppen der modernen Geschichte ist Lazarus — eine mit Nordkorea verbundene Gruppe, die für einige der zerstörerischsten und finanziell motiviertesten Cyber-Operationen bekannt ist, die jemals beobachtet wurden. Dasselbe Angreifer-Ökosystem wurde mit schwerwiegenden Vorfällen in Verbindung gebracht, vom Sony-Pictures-Angriff bis hin zu groß angelegten Bankraübern, die auf internationale Finanzsysteme abzielten.
Als Lazarus und verwandte nordkoreanische Bedrohungsakteure globale Banken ins Visier nahmen, begannen sie nicht damit, direkt in ein gehärtetes Finanznetzwerk einzubrechen. Wieder einmal fingen sie beim schwächsten Glied an: dem Menschen.
Bankmitarbeiter und Finanzpersonal wurden mit hochgradig überzeugenden Spear-Phishing-Nachrichten angegriffen. Diese Kampagnen nutzten professionell aussehende Dokumente, die als Stellenangebote, Gehaltsabrechnungen, Recruiting-Materialien oder interne Finanzkommunikation getarnt waren. Auf den ersten Blick sahen diese Dateien gewöhnlich aus. Sie wirkten nicht wie eine Cyber-Waffe. Sie sahen aus wie etwas, das ein beschäftigter Mitarbeiter an einem normalen Arbeitstag leicht öffnen könnte.
Genau das machte sie gefährlich.
Was ist hier aus cybersecurity-Perspektive passiert? Warum wurde das nicht gestoppt?
Firewalls, Unternehmens-E-Mail-Filter und herkömmliche Sicherheitstools scannten die eingehende Nachricht und die angehängte Datei. In den meisten Fällen suchten diese Systeme nach bekannten Phishing-Mustern, verdächtigem Dateiverhalten, gefährlichen Skripten oder bereits identifizierter Angriffsinfrastruktur.
Doch die eigentliche Gefahr war auf der ersten Ebene nicht sichtbar.
Das PDF sah wie ein normales Dokument aus. Es enthielt Text, Branding, eine kurze Anweisung und einen Link, der scheinbar Teil eines legitimen Verifizierungsprozesses war. Der Mitarbeiter sah eine Nachricht ähnlich wie:
„Dieses Dokument ist geschützt. Um den vollständigen Inhalt anzuzeigen, verifizieren Sie sich bitte mit Ihrem Unternehmenskonto."
In diesem Moment war die Datei selbst nicht mehr die eigentliche Waffe. Sie wurde zum Überbringungsmechanismus.
Der eigentliche Angriff begann, als der Mitarbeiter auf den eingebetteten Link klickte.
Dieser Link leitete das Opfer auf eine gefälschte Login-Seite weiter, die ein vertrauenswürdiges Unternehmens- oder Bankensystem imitierte. Sobald der Mitarbeiter seine Zugangsdaten eingab, nutzten die Angreifer diesen Zugang, um tiefer ins Netzwerk vorzudringen, nach sensiblen Finanzsystemen zu suchen und schließlich die Infrastruktur für internationale Geldtransfers zu erreichen.
So wurde ein harmlos aussehendes Dokument zum Beginn einer finanziellen Katastrophe.
Das Ergebnis dieser Bankoperationen war enorm. Nordkoreanisch verbundenen Akteuren wurde vorgeworfen, versucht zu haben, mehr als 1,2 Milliarden Dollar von Banken auf der ganzen Welt zu stehlen, indem sie Banknetzwerke kompromittierten und betrügerische SWIFT-Nachrichten sendeten. Allein beim Bangladesch-Bank-Raub versuchten die Angreifer, fast 1 Milliarde Dollar zu transferieren, und stahlen erfolgreich 81 Millionen Dollar, bevor die gesamte Operation gestoppt wurde.
Von außen sahen diese Banken wie Festungen aus.
Sie hatten strenge Zugangskontrollen, interne Verfahren, Finanzüberwachungssysteme und globale Bankeninfrastruktur um sich herum.
Doch der erste Riss erschien nicht im SWIFT-Netzwerk.
Er begann mit einem einzigen Mitarbeiter, der eine Datei öffnete, die wie attachments.pdf aussah.
Was hätte sich geändert, wenn PhiShark dabei gewesen wäre?
Herkömmliche Produkte sind statisch. Sie prüfen eine Datei, während sie durch den E-Mail-Server eingeht, scannen sie einmal, kennzeichnen sie als „sauber" und belassen es dabei. Was nach dem Öffnen der Datei passiert, liegt oft außerhalb ihres Sichtfelds.
Genau hier beleuchtet die Schutzlogik von PhiShark den blinden Fleck.
Sobald ein Benutzer dieses verdächtige PDF direkt über den Bereich „Datei scannen" unserer Browser-Erweiterung hochlädt, würde PhiShark die Datei nicht nur oberflächlich scannen. Es würde die im Dokument versteckte URL extrahieren, sie durch unsere agentic KI-Analysemodule leiten und innerhalb von Sekunden erkennen, dass das endgültige Ziel eine Phishing-Falle ist.
Selbst wenn das PDF selbst sauber aussähe, würde PhiShark die eigentliche Absicht dahinter verstehen.
Denn beim modernen Phishing ist der bösartige Teil nicht immer die Datei selbst.
Manchmal ist die Datei nur die Tür.
Auf diese Weise würde die sorgfältig vorbereitete Phishing-Falle der Angreifer ganz am Anfang neutralisiert — bevor der Mitarbeiter seine Zugangsdaten eingab, bevor die Angreifer interne Systeme erreichten und bevor eine einzige betrügerische Überweisungsanweisung gesendet wurde.
Eine millionenschwere Bankenkatastrophe könnte in einem einzigen PDF gestoppt werden.
Die Cyber-Front ist heute mehrdimensional. Sie bewegt sich von herkömmlichen Links zu PDFs und nun von der physischen Welt in die digitale Welt. Im nächsten und letzten Teil unserer Serie werden wir über „QR-Phishing" bzw. „Quishing"-Angriffe sprechen, die herkömmliche Sicherheitstools völlig blind lassen, und über die Ökosystem-Architektur von PhiShark.
Bleiben Sie sicher. Lesen Sie den Originalartikel auf unserem Blog und probieren Sie PhiShark aus oder installieren Sie die PhiShark Browser Phishing Protection Extension.
Oh, und der letzte Teil kommt bald — QR-Codes werden gleich interessant. Bleiben Sie dran. :D
Beste Grüße, Ozan.