Lazarus Group: Windows-Webserver-Angriffe und Versicherungsrisiken

Lazarus APT nutzt ungepatchte Windows-Webserver. Versicherer sollten Patch-Status und EOL-Risiken neu bewerten.

Lazarus APT nutzt ungepatchte Windows-Webserver. Versicherer sollten Patch-Status und EOL-Risiken neu bewerten.

Lazarus Group richtet sich erneut gegen Windows-Webserver: Was Underwriter und Risikoteams wissen müssen

Am 11. März 2025 veröffentlichten Threat-Intelligence-Analysten einen Bericht über eine erneute Kampagne der Lazarus Group (auch bekannt als APT38, Diamond Sleet und Hidden Cobra), der Windows-basierte Webserver ins Visier nimmt. Die Operation folgt einem bekannten Playbook, das die Gruppe seit mindestens 2014 verfeinert hat, aber die neueste Iteration führt eine schnellere Verweildauer, modularere Post-Exploitation-Tools und eine stärkere Abhängigkeit von kompromittierter Infrastruktur als Proxy-Knoten ein. Für Versicherer, die Cyber-Policen zeichnen, und Makler, die Kunden beraten, ist die Kampagne ein Hinweis darauf, dass staatsnahe Akteure öffentlich zugängliche Webserver weiterhin als den günstigsten Weg in Unternehmens- und Finanznetzwerke betrachten.

Was passiert ist: Ein mehrstufiger Einbruch, der auf Heimlichkeit ausgelegt ist

Die gemeldete Kampagne beginnt mit der Aufklärung öffentlich zugänglicher IIS- und Apache-on-Windows-Installationen, gefolgt von der Ausnutzung bekannter Schwachstellen in ungepatchten Webanwendungen und Content-Management-Frameworks. Sobald der erste Zugang erlangt ist, platzieren die Operatoren leichtgewichtige Webshells – kleine Skripte, die eine Remote-Befehlsausführung über Standard-HTTP-Anfragen ermöglichen –, um die Persistenz zu sichern, selbst nachdem der ursprüngliche Eintrittsvektor geschlossen wurde.

Analysten beschreiben eine dreistufige Kette:

  1. Erster Zugang. Ausnutzung von Edge-Geräten und Webservern, oft durch Deserialisierungsschwachstellen, Datei-Upload-Wege oder veraltete Plugins. In mehreren Vorfällen wurde der Eintrittspunkt auf Servern zurückgeführt, die Windows Server 2012 R2-Instanzen am Ende des Lebenszyklus (End-of-Life) ohne erweiterte Sicherheitsupdates ausführen.
  2. Einrichtung von Command and Control. Bereitstellung verschleierter C2-Skripte, die über HTTPS mit infrastruktur kommunizieren, die von Angreifern kontrolliert wird. Die ausgehenden Übertragungen sind so gestaltet, dass sie legitimen CDN-Verkehr imitieren, was signaturenbasierte Erkennung unzuverlässig macht.
  3. Umwandlung des Hosts in einen Proxy-Knoten. Die finale Nutzlast konfiguriert den kompromittierten Server als Weiterleitungs-Relay, sodass die Operatoren in interne Netzwerke pivotieren oder den Ursprung von Folgeangriffen gegen Finanzinstitute und Kryptowährungs-Dienstleister verschleiern können.

Südkoreanische Organisationen sind unverhältnismäßig stark betroffen, was mit Lazarus’ langjährigem Fokus auf die Halbinsel übereinstimmt, aber die in dieser Kampagne beobachtete Proxy-Infrastruktur deutet darauf hin, dass sekundäre Ziele in Japan, Vietnam und den Vereinigten Staaten in Reichweite desselben Operateur-Sets liegen.

Warum dies für Cyber-Versicherungen relevant ist

Für Underwriter ist die Lazarus-Kampagne ein Stresstest für mehrere häufige Annahmen im Policenwortlaut und der Risikoselektion.

Die Häufigkeit von Schäden im Zusammenhang mit Webservern steigt. Branchendaten mehrerer Versicherer zeigen, dass Schäden, die die Ausnutzung von internetzugänglichen Anwendungen beinhalten, mittlerweile etwa 30 bis 40 Prozent der Meldungen von Erstpartei-Cyberschäden ausmachen, knapp hinter Business Email Compromise. Eine Kampagne, die speziell ungepatchte Windows-Webserver ins Visier nimmt, erhöht die Wahrscheinlichkeit von häufigen Schadenfällen über einen breiten Teil der versicherten Basis, nicht nur bei prominenten Finanzzielen.

Die Verweildauer treibt die Schadenhöhe. Je länger ein Angreifer in einem Netzwerk verbleibt, desto höher ist der eventuelle Schaden. Lazarus-Operatoren haben historisch gesehen 60 bis 180 Tage lang Zugang gehalten, bevor zur Exfiltration oder Zerstörung übergegangen wurde. Die im Bericht vom 11. März beschriebene modulare Webshell-plus-Proxy-Architektur ist für dieses Verweildauer-Profil konzipiert: redundante Persistenz, Verschmelzung des Datenverkehrs und ein niedriges Operationstempo, das die Ermüdung durch Warnmeldungen (Alert Fatigue) unterläuft.

Das Proxy-Funktionsergebnis erschwert Zurechnung und Haftung. Ein kompromittierter Server, der als Relay für Angriffe auf Dritte genutzt wird, kann das Opferunternehmen nachgelagerten Rechtsansprüchen, regulatorischen Anfragen und Benachrichtigungskosten aussetzen, die außerhalb des traditionellen Geltungsbereichs von Cyber-Policen liegen, die vor 2022 geschrieben wurden. Mehrere kürzliche Marktüberarbeitungen haben versucht, diese Exposition zu klären, aber die Deckungssprache bleibt zwischen den Versicherern uneinheitlich.

Das technische Bild in Geschäftssprache

Der Bedrohungsbericht ist dicht, aber die beweglichen Teile können in die Sprache übersetzt werden, die Risikoingenieure und CISOs in Anträgen und Verlängerungsgesprächen verwenden.

Webshells sind der Zugang, nicht das Ziel. Ein Webshell ist am besten als eine in einer legitimen Webanwendung versteckte Hintertür zu verstehen. Er stiehlt keine Daten eigenständig; er gibt dem Angreifer eine dauerhafte Möglichkeit, dem Server später Anweisungen zu senden. Aus der Sicht des Underwritings deutet das Vorhandensein einer Webshell auf ein Kontrollversagen hin, das bereits eingetreten ist: Entweder war das Patching im Rückstand, das File-Integrity-Monitoring fehlte oder beides.

C2-Skripte sind die Fernbedienung des Operateurs. Sobald die Webshell vorhanden ist, installiert der Angreifer ein kleines Programm, das periodisch bei einem externen Server nach neuen Anweisungen nachsieht. Der Verkehr ist verschlüsselt und wird über Ports (443) geroutet, die Firewalls standardmäßig zulassen. Die Erkennung erfordert Verhaltensanalysen, Netzwerk-Baselining oder Threat Hunting – keines davon ist in kleinen und mittleren Unternehmen üblich.

Proxy-Nutzung verwandelt Opfer in ungewollte Teilnehmer. Das folgenreichste Element der Lazarus-Kampagne ist, dass der kompromittierte Server nicht immer das endgültige Ziel ist. Er wird zu einem Relay, das der Angreifer nutzt, um andere Organisationen zu erreichen. Aus Schadensperspektive bedeutet dies, dass das Opferunternehmen möglicherweise mit Untersuchungskosten, regulatorischer Exposition und Reputationsschäden konfrontiert sein kann, auch wenn seine eigenen Daten nie berührt wurden. Aus der Sicht des Underwritings wirft dies die Frage auf, ob eine Serverkompromittierung – unabhängig von den nachgelagerten Auswirkungen – eine Benachrichtigung unter der Police auslösen sollte.

Auswirkungen auf Deckung und Underwriting

Für Versicherer spricht die Kampagne für mehrere Anpassungen daran, wie Webserver-Risiken kalkuliert und abgegrenzt werden.

Strenge Mindestsicherheitsstandards. In Anträgen sollten Nachweise für die Patching-Frequenz von internetzugänglichen Systemen gefordert werden, nicht nur eine selbst bestätigte Patch-Richtlinie. Betriebssysteme am Ende des Lebenszyklus auf Systemen, die dem Internet ausgesetzt sind, sollten als harter Ablehnungsgrund behandelt oder mit einem erheblichen Zuschlag auf die Prämie versehen werden. Die Lazarus-Operation betrifft unverhältnismäßig stark genau diese Legacy-Stacks.

Genauere Prüfung von EDR- und Netzwerkerkennungsabdeckung. Webshell- und C2-Erkennung verlassen sich weniger auf Antiviren-Signaturen und mehr auf Verhaltenssignale. Underwriter sollten überprüfen, ob der Versicherte speziell auf Webservern über eine Endpoint-Detection-and-Response-Abdeckung verfügt und ob Netzwerksensoren vorhanden sind, um anomalen ausgehenden Verkehr zu kennzeichnen. Ein einfaches Antiviren-Kästchen ist kein ausreichender Nachweis mehr für die Wirksamkeit von Kontrollen.

Überprüfung der Haftungssprache für Proxy und Relay. Mehrere Policenformulare führten nach den Mirai-artigen Ereignissen von 2017 und 2020 Ausschlusssprache für Angriffe ein, die von der Infrastruktur des Versicherten ausgehen. Die Lazarus-Kampagne ist ein nützlicher Anstoß für Makler, diese Klauseln mit Kunden und Versicherern erneut zu prüfen und zu bestätigen, ob sich die Deckung auf Untersuchungskosten, regulatorische Anfragen und Ansprüche Dritter erstreckt, die sich aus der Relais-Nutzung ergeben.

Geografische Konzentration ist immer noch ein Signal, aber ein schwächeres. Das Engagement in Südkorea bleibt eine bedeutende Underwriting-Variable, aber die Proxy-Architektur bedeutet, dass Schäden in Rechtsräumen auftauchen können, die weit entfernt von den primären Zielen des Operateurs liegen. Multi-jurisdiktionale Policenformulare und konsistente Benachrichtigungsauslöser sind jetzt wichtiger als geografische Sub-Limits.

Umsetzbare Empfehlungen

Für Makler, Underwriter und Risikoingenieure, die die Exposition im Lichte dieses Bedrohungsberichts überprüfen, übersetzen die folgenden Schritte die technischen Erkenntnisse in Underwriting- und Risikomanagementmaßnahmen.

1. Aktualisieren Sie das Risikoregister mit den Lazarus-TTPs. Die im Bericht vom 11. März beschriebenen Taktiken, Techniken und Verfahren sollten in das Risikoregister des Versicherten übertragen werden, sodass Verantwortung für die Risikominderung und Überprüfungsrhythmus explizit sind. Risikoregister, die sich noch auf allgemeine Kategorien wie “Webanwendungsangriff” verlassen, werden die spezifischen Expositionen, die die Lazarus-Kampagne schafft, nicht aufzeigen: Haftung bei Proxy-Relays, lange Verweildauer und nachgelagerte Benachrichtigung von Dritten. Versicherter, die kein innerhalb des letzten Quartals aktualisiertes Register vorlegen können, sollten zur Nachverfolgung bei der Verlängerung markiert werden.

2. Validieren Sie die EDR-Abdeckung auf Webserver-Workloads. Die Bestätigung, dass die Endpunkterkennung auf jedem internetzugänglichen Windows-Server aktiv ist – nicht nur auf Benutzer-Endpunkten –, sollte eine Standard-Underwriting-Frage sein. Webserver, die mit Standard-Antivirus laufen oder deren EDR-Sensoren aus Leistungsgründen deaktiviert sind, stellen eine bekannte Kontrolllücke gegen diese Kampagne dar.

3. Verlangen Sie Nachweise für die Überwachung des ausgehenden Datenverkehrs. Da der Lazarus-C2-Verkehr mit legitimen CDN- und HTTPS-Mustern verschmilzt, ist die Überwachung des ausgehenden Verkehrs die zuverlässigste Erkennungsebene. Makler sollten Kunden um Dokumentation von Netzwerksensoren, Regeln für ausgehende Filter (Egress Filtering) oder einen Managed-Detection-and-Response-Vertrag bitten, der Webserver-Telemetrie beinhaltet.

4. Überprüfen Sie Proxy- und Relay-Klauseln in aktuellen Policenformularen. Sowohl Makler als auch Versicherter sollten die aktuelle Police ziehen und den Versicherer direkt fragen, ob Untersuchungskosten, regulatorische Anfragen und Ansprüche Dritter, die sich aus der Nutzung eines kompromittierten Servers als Relay ergeben, gedeckt sind. Wenn die Policesprache hierzu schweigt, sollte vor der Verlängerung ein Endorsement angefordert werden.

5. Testen Sie den Incident-Response-Plan anhand eines Lazarus-Szenarios. Tabletop-Übungen, die das Auffinden von Webshells, die Eindämmung von C2 und den Abbau von Proxys durchgehen, sind nützlicher als generische Ransomware-Simulationen für Versicherter in Sektoren, die von diesem Akteur ins Visier genommen werden. Die Übung sollte rechtliche, kommunikative und regulatorische Meldeverfahren einschließen, nicht nur technische Eindämmung.

Zusammenführung für den Verlängerungszyklus

Die Lazarus-Kampagne ist eine von mehreren staatsnahen Operationen im Jahr 2025, die die Verbindung zwischen der Reife technischer Kontrollen und den Ergebnissen der Cyber-Versicherung verstärkt hat. Versicherer, die zu einem Underwriting mit Kontrollbestätigung übergegangen sind, haben die Lücke zwischen der Selbsteinschätzung des Versicherten und der beobachteten Sicherheitshaltung bereits preislich berücksichtigt. Makler, die ihre Kunden auf dieses Gespräch mit konkreten Nachweisen vorbereiten – aktualisierte Risikoregister, EDR-Abdeckung auf Servern, Überwachung des ausgehenden Verkehrs und klare Policensprache zur Relay-Exposition –, werden reibungslosere Verlängerungen und weniger Überraschungen während der Laufzeit erleben.

Für Underwriter ist die Kampagne ein Argument, die Antragsfragen zu verschärfen und das Fehlen von Nachweisen zu einem der oben genannten Punkte als Preissignal und nicht als neutralen Datenpunkt zu behandeln. Für Risikoingenieure sind die TTPs im Bericht vom 11. März spezifisch genug, um als Testfälle gegen die dokumentierten Kontrollen des Versicherten zu dienen. Und für den Versicherten bleibt die praktische Botschaft unverändert: Patchen Sie internetzugängliche Systeme in einem definierten Rhythmus, instrumentieren Sie die Server, die der Öffentlichkeit ausgesetzt sind, und verstehen Sie die Policensprache, die aktiviert wird, wenn diese Server als Relay gegen jemand anderen verwendet werden.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Get the full picture with premium access

In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →

Verwandte Artikel

Abandoned WordPress Plugin Exposes 12,000+ Sites to Cyber Risk
Cyber Risk · · 5 min read

Abandoned WordPress Plugin Exposes 12,000+ Sites to Cyber Risk

CVE-2023-5336 in iPanorama 360 plugin creates systemic risk for small businesses. SQL injection vulnerability affects unpatched WordPress sites, highlighting third-party component gaps in cyber insurance coverage.

Acronis CVE-2022-46869: How Consumer Software Creates Enterprise Risk
Cyber Risk · · 5 min read

Acronis CVE-2022-46869: How Consumer Software Creates Enterprise Risk

Local privilege escalation vulnerability in Acronis backup software highlights underwriting risks from consumer-grade tools and patch management gaps.

Acronis Privilege Escalation Flaw Exposes Endpoint Security Gaps
Cyber Risk · · 5 min read

Acronis Privilege Escalation Flaw Exposes Endpoint Security Gaps

CVE-2023-41743 highlights critical endpoint protection weaknesses that expand attack surfaces and increase cyber insurance risk exposure for organizations.