Teil der Lazarus-Gruppe entwickelte komplexe Infrastruktur, Exploits und Malware-Implantate. Bedrohungsakteur BlueNoroff leert Konten von Kryptowährungs-Startups. BlueNoroff verwendet dabei umfassende Angriffsmethodik.
Die Sicherheitsexperten von Kaspersky haben eine Reihe von Angriffen des Advanced Persistent Threat (APT)-Akteurs BlueNoroff auf kleine und mittelständische Unternehmen weltweit aufgedeckt. Die Opfer erlitten dabei große Kryptowährungsverluste. Die Kampagne mit dem Namen ,SnatchCrypto‘ hat es auf verschiedene Unternehmen abgesehen, die sich mit Kryptowährungen sowie Smart Contracts, DeFi, Blockchain und der FinTech-Branche beschäftigen.
In der jüngsten Kampagne des Bedrohungsakteuers BlueNoroff nutzten die Angreifer auf subtile Weise das Vertrauen von Mitarbeitern in Zielunternehmen aus, indem sie ihnen unter dem Deckmantel eines „Vertrags“ oder einer anderen Geschäftsdatei eine vollwertige Windows-Backdoor mit Überwachungsfunktionen schickten. Um die Krypro-Wallet eines Opfers zu leeren, hat der Akteur umfangreiche und maliziöse Ressourcen entwickelt – darunter eine komplexe Infrastruktur, Exploits und Malware-Implantate.
BlueNoroff und Lazarus
BlueNoroff ist Teil der Lazarus-Gruppe und nutzt deren diversifizierte Struktur und ausgefeilte Angriffstechnologien. Diese APT-Gruppe ist bekannt für Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und beteiligte sich sogar an der Gründung von Scheinfirmen für die Entwicklung von Kryptowährungs-Software [2]. Die getäuschten Kunden installierten anschließend legitim aussehende Apps und erhielten nach einer Weile Updates inklusive Backdoor.
Dieser Zweig der APT-Gruppe ist inzwischen dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da die meisten Kryptowährungs-Unternehmen kleine oder mittelgroße Startups sind, können diese nicht viel Geld in ihr internes Sicherheitssystem investieren. Lazarus hat das erkannt und nutzt dies durch ausgeklügelte Social-Engineering-Methoden aus.
BlueNoroff gibt vor ein Risikokapitalunternehmen zu sein
Um das Vertrauen des Opfers zu gewinnen, gibt BlueNoroff vor, ein Risikokapitalunternehmen zu sein. Die Kaspersky-Forscher entdeckten über 15 Risikokapitalunternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht worden sind. Laut den Sicherheitsexperten haben reale Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun. Die Krypto-Sphäre der Start-ups wurde von den Cyberkriminellen aus einem bestimmten Grund ausgewählt: Start-ups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Aufgrund dessen ist es durchaus möglich, dass eine Risikogesellschaft ihnen einen Vertrag oder andere geschäftsbezogene Dateien schickt. Der APT-Akteur von Lazarus nutzt dies als Köder, um die Opfer dazu zu bringen, den Anhang in der E-Mail zu öffnen – ein makroaktiviertes Dokument.
Wenn solch ein Dokument offline geöffnet wird, stellen diese Datei keine Gefahr dar. Ist ein Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein anderes makroaktiviertes Dokument auf das Gerät des Opfers geladen und Malware installiert.
BlueNoroff verwendet umfassende Angriffsmethodik
Die BlueNoroff-APT-Gruppe verfügt über verschiedene Methoden in ihrem Kompromittierungsarsenal und gestaltet die Infektionskette je nach Situation entsprechend. Neben schädlichen Word-Dokumenten verbreitet der Akteur auch Malware, die als gezippte Windows-Verknüpfungsdateien getarnt ist. Diese sendet die Informationen des Opfers und den Powershell-Agenten zurück, wodurch eine Backdoor erstellt wird. Über diese setzt BlueNoroff weitere schädliche Tools zur Überwachung des Opfers ein: einen Keylogger und ein Screenshot-Tool.
Im Anschluss verfolgen die Angreifer ihre Opfer über Wochen und Monate. Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Nutzers, während sie eine Strategie für einen finanziellen Diebstahl planen. Sobald sie ein prominentes Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Wallets verwendet (etwa die Metamask-Erweiterungen), ersetzen sie deren Hauptkomponente durch eine gefälschte Version.
Transaktionsprozess wird abgefangen und geändert
Nach Angaben der Kaspersky-Experten erhalten die Angreifer eine Benachrichtigung, sobald eine große Überweisung entdeckt wird. Wenn der kompromittierte Nutzer versucht, einen Betrag auf ein anderes Konto zu überweisen, fangen sie den Transaktionsprozess ab und fügen ihre eigene Logik ein. Um die eingeleitete Zahlung abzuschließen, klickt der Nutzer dann auf die Schaltfläche „Genehmigen“. In diesem Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag; damit wird das Konto auf einen Schlag geleert.
„Da Angreifer immer wieder neue Wege digitaler Kompromittierung finden, sollten auch kleine Unternehmen ihre Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen“ kommentiert Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Insbesondere, wenn Unternehmen Krypro-Währungen nutzen, gilt es zu beachten, dass diese ein attraktives Ziel für APT-Akteure und Cyberkriminelle sind. Daher ist dieser Bereich besonders schützenswert.“
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/