Nordkoreanische Hacker haben ihre Methoden geändert und ihre Cyberkriegstaktiken verschärft. Sie nutzen jetzt Phishing-E-Mails als Hauptwerkzeug, um Krypto-Firmen anzugreifen.
Ein aktueller Bericht der Cybersicherheitsforschungsfirma SentinelLabs verknüpft diese Änderung mit BlueNoroff, einer berüchtigten Untergruppe innerhalb der Lazarus-Gruppe.
Nordkoreanische Hacker wechseln beim „Versteckte Risiko“-Kampagne zum Phishing
BlueNoroff ist bekannt für umfangreiche Cyberverbrechen, die Nordkoreas Kernwaffen- und Rüstungsinitiativen finanzieren. Die neue Kampagne, genannt „Hidden Risk“, zeigt einen strategischen Wechsel von sozialen Medien zur direkten, E-Mail-basierten Infiltration.
In der „Hidden Risk“-Kampagne haben die Hacker ihre Bemühungen durch gezielt eingesetzte Phishing-E-Mails verstärkt. Getarnt als Krypto-Nachrichtenwarnungen über Bitcoin-Kurse oder Updates zu DeFi-Trends, verleiten diese E-Mails die Empfänger dazu, auf scheinbar legitime Links zu klicken. Einmal angeklickt, liefern diese Links malwarebeladene Anwendungen auf die Geräte der Nutzer, was Angreifern direkten Zugang zu sensiblen Unternehmensdaten gibt.
„Die Kampagne, die wir ‚Hidden Risk‘ genannt haben, verwendet E-Mails, die gefälschte Nachrichten über Kryptotrends verbreiten, um Ziele über eine als PDF-Datei getarnte bösartige Anwendung zu infizieren“, heißt es in dem Bericht lesen.
Die Malware in der „Hidden Risk“-Kampagne ist besonders ausgeklügelt und umgeht effektiv Apples eingebaute Sicherheitsprotokolle. Mit legitimen Apple Developer IDs umgeht sie das Gatekeeper-System von macOS, was unter Cybersicherheitsexperten erhebliche Bedenken ausgelöst hat.
Nordkoreanische Hacker haben traditionell auf aufwendige soziale Medienpflege gesetzt, um Vertrauen bei Mitarbeitern von Krypto- und Finanzfirmen aufzubauen. Indem sie auf Plattformen wie LinkedIn und Twitter mit Zielpersonen interagierten, schufen sie die Illusion legitimer beruflicher Beziehungen. Obwohl effektiv, war diese geduldige Methode zeitaufwendig, was zu einem Wechsel zu schnelleren, malwarebasierten Taktiken führte.
Die Hacking-Aktivitäten Nordkoreas haben sich intensiviert, da der Kryptosektor weiter wächst. Derzeit auf über 2,6 Billionen USD bewertet, ist der Kryptoraum ein attraktives Ziel für nordkoreanische staatlich unterstützte Hacker. Der Bericht von SentinelLabs hebt hervor, wie diese Umgebung besonders anfällig für Cyberangriffe ist, was sie zu einem lukrativen Jagdgrund für Lazarus macht.
Eine wachsende Bedrohung für die Krypto-Industrie
Laut einer aktuellen FBI-Warnung konzentrieren sich nordkoreanische Hacker auf DeFi– und ETF-Firmen. Sie nutzen Social Engineering und Phishing-Kampagnen, die direkt auf Mitarbeiter in diesen Sektoren abzielen. Die Warnungen haben die Firmen dazu aufgefordert, ihre Sicherheitsprotokolle zu verstärken und insbesondere die Notwendigkeit betont, Kunden-Wallet-Adressen gegen bekannte Hacker-Adressen abzugleichen.
BeInCrypto berichtete auch, wie die Lazarus-Gruppe gelernt hat, westliche Sanktionen zu umgehen. Sie nutzten Schlupflöcher in internationalen Vorschriften, um kryptobasierte Geldwäsche zu erleichtern. Ein bedeutender Meilenstein in dieser Zeitleiste war die Nutzung des RailGun-Privatsphärenprotokolls, das anonyme Transaktionen auf der Ethereum-Chain ermöglicht.
Die US-Regierung war nicht passiv in Bezug auf Nordkoreas eskalierte Cyberkampagnen. Das Finanzministerium hat den Krypto-Mixing-Dienst Tornado Cash sanktioniert, da er nordkoreanischen Hackern dabei hilft, illegale Transaktionen zu verschleiern. Tornado Cash, ähnlich wie RailGun, ermöglicht es Nutzern, Kryptowährungsbewegungen zu anonymisieren und bietet Hackern ein mächtiges Werkzeug, um ihre Spuren zu verwischen.
Die Sanktionen waren Teil einer breiteren Vorgehensweise, die zeigt, wie Nordkoreas kryptobezogene Aktivitäten zu einem wichtigen Fokus für westliche Regierungen geworden sind. Der Zeitpunkt dieser Sanktionen stimmt mit Nordkoreas verstärkten Aktivitäten im Kryptosektor überein, insbesondere durch Lazarus.
Angesichts der Raffinesse der neuen „Hidden Risk“-Kampagne rät SentinelLabs macOS-Nutzern und Organisationen, insbesondere denen im Kryptobereich, ihre Sicherheitsmaßnahmen zu erhöhen. Sie empfehlen, dass Unternehmen gründliche Malware-Scans durchführen, Entwickler-Signaturen überprüfen und das Herunterladen von Anhängen aus unerwünschten E-Mails vermeiden.
Diese proaktiven Schritte sind entscheidend, um sich gegen zunehmend komplexe Malware zu schützen, die darauf ausgelegt ist, in Systemen verborgen zu bleiben.
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.