Das nordkoreanische Hacker-Kollektiv Lazarus Group hat im Rahmen seiner Betrügereien mit gefälschten Beschäftigungsverhältnissen eine neue Art von „ausgeklügelter“ Malware eingesetzt – die Forscher warnen, dass sie weitaus schwieriger zu erkennen ist als ihr Vorgänger.
Nach In einem Beitrag vom 29. September von Peter Kálnai, leitender Malware-Forscher bei ESET, entdeckten ESET-Forscher bei der Analyse eines kürzlichen Fake-Job-Angriffs gegen ein in Spanien ansässiges Luft- und Raumfahrtunternehmen eine öffentlich undokumentierte Hintertür namens LightlessCan.
#ESET Forscher enthüllten ihre Ergebnisse zu einem Angriff der mit Nordkorea in Verbindung stehenden Personen #GEEIGNET Gruppe #Lazarus das auf ein Luft- und Raumfahrtunternehmen in Spanien abzielte.
▶️ Erfahren Sie mehr in a #WeekinSecurity Video mit @TonyAtESET. pic.twitter.com/M94J200VQx
– ESET (@ESET) 29. September 2023
Beim Fake-Job-Betrug der Lazarus Group geht es in der Regel darum, Opfer mit einem potenziellen Stellenangebot bei einem bekannten Unternehmen zu täuschen. Die Angreifer würden ihre Opfer dazu verleiten, eine als Dokumente getarnte bösartige Nutzlast herunterzuladen, um allerlei Schaden anzurichten.
Kálnai sagt jedoch, dass die neue LightlessCan-Nutzlast einen „bedeutenden Fortschritt“ im Vergleich zu ihrem Vorgänger BlindingCan darstellt.
„LightlessCan ahmt die Funktionen einer breiten Palette nativer Windows-Befehle nach und ermöglicht so eine diskrete Ausführung innerhalb des RAT selbst anstelle von lauten Konsolenausführungen.“
„Dieser Ansatz bietet einen erheblichen Vorteil im Hinblick auf die Tarnung, sowohl bei der Umgehung von Echtzeit-Überwachungslösungen wie EDRs als auch von postmortalen digitalen Forensik-Tools“, sagte er.
️♂️ Vorsicht vor gefälschten LinkedIn-Personalvermittlern! Erfahren Sie, wie die Lazarus-Gruppe ein spanisches Luft- und Raumfahrtunternehmen durch einen Trojaner-Coding-Challenge ausgenutzt hat. Tauchen Sie in unserer neuesten Version in die Details ihrer Cyberspionagekampagne ein #WirLebenSicherheit Artikel. #ESET #ProgressProtected
– ESET (@ESET) 29. September 2023
Die neue Nutzlast nutzt außerdem das, was der Forscher „Ausführungsleitlinien“ nennt – um sicherzustellen, dass die Nutzlast nur auf dem Rechner des vorgesehenen Opfers entschlüsselt werden kann, wodurch eine unbeabsichtigte Entschlüsselung durch Sicherheitsforscher vermieden wird.
Kálnai sagte, dass ein Fall, bei dem es um die neue Malware ging, auf einen Angriff auf ein spanisches Luft- und Raumfahrtunternehmen zurückzuführen sei, als ein Mitarbeiter im Jahr 2022 eine Nachricht von einem gefälschten Meta-Personalvermittler namens Steve Dawson erhielt.
Kurz darauf schickten die Hacker die beiden einfachen Codierungsherausforderungen, die in die Malware eingebettet waren.
Cyberspionage sei die Hauptmotivation für den Angriff der Lazarus Group auf das in Spanien ansässige Luft- und Raumfahrtunternehmen gewesen, fügte er hinzu.
Verwandt: 3 Schritte, die Krypto-Investoren unternehmen können, um Hacks durch die Lazarus Group zu vermeiden
Laut einem Bericht des Blockchain-Forensikunternehmens Chainalysis vom 14. September haben nordkoreanische Hacker seit 2016 schätzungsweise 3,5 Milliarden US-Dollar aus Kryptowährungsprojekten gestohlen.
Im September 2022 warnte das Cybersicherheitsunternehmen SentinelOne auf LinkedIn vor einem Fake-Job-Betrug und bot potenziellen Opfern im Rahmen einer Kampagne mit dem Titel „Operation Dream Job“ einen Job bei Crypto.com an.
Unterdessen versuchen die Vereinten Nationen, die Cyberkriminalitätstaktiken Nordkoreas auf internationaler Ebene einzudämmen – so wie es ist verstanden Nordkorea nutzt die gestohlenen Gelder zur Unterstützung seines Atomraketenprogramms.
Zeitschrift: Bitcoin im Wert von 3,4 Milliarden US-Dollar in einer Popcorndose: Die Geschichte des Silk Road-Hackers