Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups

Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups
Anzeige

Beitrag teilen

Teil der Lazarus-Gruppe entwickelte komplexe Infrastruktur, Exploits und Malware-Implantate. Bedrohungsakteur BlueNoroff leert Konten von Kryptowährungs-Startups. BlueNoroff verwendet dabei umfassende Angriffsmethodik.

Die Sicherheitsexperten von Kaspersky haben eine Reihe von Angriffen des Advanced Persistent Threat (APT)-Akteurs BlueNoroff auf kleine und mittelständische Unternehmen weltweit aufgedeckt. Die Opfer erlitten dabei große Kryptowährungsverluste. Die Kampagne mit dem Namen ,SnatchCrypto‘ hat es auf verschiedene Unternehmen abgesehen, die sich mit Kryptowährungen sowie Smart Contracts, DeFi, Blockchain und der FinTech-Branche beschäftigen.

Anzeige

In der jüngsten Kampagne des Bedrohungsakteuers BlueNoroff nutzten die Angreifer auf subtile Weise das Vertrauen von Mitarbeitern in Zielunternehmen aus, indem sie ihnen unter dem Deckmantel eines „Vertrags“ oder einer anderen Geschäftsdatei eine vollwertige Windows-Backdoor mit Überwachungsfunktionen schickten. Um die Krypro-Wallet eines Opfers zu leeren, hat der Akteur umfangreiche und maliziöse Ressourcen entwickelt – darunter eine komplexe Infrastruktur, Exploits und Malware-Implantate.

BlueNoroff und Lazarus

BlueNoroff ist Teil der Lazarus-Gruppe und nutzt deren diversifizierte Struktur und ausgefeilte Angriffstechnologien. Diese APT-Gruppe ist bekannt für Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und beteiligte sich sogar an der Gründung von Scheinfirmen für die Entwicklung von Kryptowährungs-Software [2]. Die getäuschten Kunden installierten anschließend legitim aussehende Apps und erhielten nach einer Weile Updates inklusive Backdoor.

Anzeige

Dieser Zweig der APT-Gruppe ist inzwischen dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da die meisten Kryptowährungs-Unternehmen kleine oder mittelgroße Startups sind, können diese nicht viel Geld in ihr internes Sicherheitssystem investieren. Lazarus hat das erkannt und nutzt dies durch ausgeklügelte Social-Engineering-Methoden aus.

BlueNoroff gibt vor ein Risikokapitalunternehmen zu sein

Um das Vertrauen des Opfers zu gewinnen, gibt BlueNoroff vor, ein Risikokapitalunternehmen zu sein. Die Kaspersky-Forscher entdeckten über 15 Risikokapitalunternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht worden sind. Laut den Sicherheitsexperten haben reale Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun. Die Krypto-Sphäre der Start-ups wurde von den Cyberkriminellen aus einem bestimmten Grund ausgewählt: Start-ups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Aufgrund dessen ist es durchaus möglich, dass eine Risikogesellschaft ihnen einen Vertrag oder andere geschäftsbezogene Dateien schickt. Der APT-Akteur von Lazarus nutzt dies als Köder, um die Opfer dazu zu bringen, den Anhang in der E-Mail zu öffnen – ein makroaktiviertes Dokument.

Wenn solch ein Dokument offline geöffnet wird, stellen diese Datei keine Gefahr dar. Ist ein Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein anderes makroaktiviertes Dokument auf das Gerät des Opfers geladen und Malware installiert.

BlueNoroff verwendet umfassende Angriffsmethodik

Die BlueNoroff-APT-Gruppe verfügt über verschiedene Methoden in ihrem Kompromittierungsarsenal und gestaltet die Infektionskette je nach Situation entsprechend. Neben schädlichen Word-Dokumenten verbreitet der Akteur auch Malware, die als gezippte Windows-Verknüpfungsdateien getarnt ist. Diese sendet die Informationen des Opfers und den Powershell-Agenten zurück, wodurch eine Backdoor erstellt wird. Über diese setzt BlueNoroff weitere schädliche Tools zur Überwachung des Opfers ein: einen Keylogger und ein Screenshot-Tool.

Im Anschluss verfolgen die Angreifer ihre Opfer über Wochen und Monate. Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Nutzers, während sie eine Strategie für einen finanziellen Diebstahl planen. Sobald sie ein prominentes Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Wallets verwendet (etwa die Metamask-Erweiterungen), ersetzen sie deren Hauptkomponente durch eine gefälschte Version.

Transaktionsprozess wird abgefangen und geändert

Nach Angaben der Kaspersky-Experten erhalten die Angreifer eine Benachrichtigung, sobald eine große Überweisung entdeckt wird. Wenn der kompromittierte Nutzer versucht, einen Betrag auf ein anderes Konto zu überweisen, fangen sie den Transaktionsprozess ab und fügen ihre eigene Logik ein. Um die eingeleitete Zahlung abzuschließen, klickt der Nutzer dann auf die Schaltfläche „Genehmigen“. In diesem Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag; damit wird das Konto auf einen Schlag geleert.

„Da Angreifer immer wieder neue Wege digitaler Kompromittierung finden, sollten auch kleine Unternehmen ihre Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen“ kommentiert Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Insbesondere, wenn Unternehmen Krypro-Währungen nutzen, gilt es zu beachten, dass diese ein attraktives Ziel für APT-Akteure und Cyberkriminelle sind. Daher ist dieser Bereich besonders schützenswert.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Neuer Cloud Native Threat Report 2022

Aqua Security stellt neuen Cloud Native Threat Report 2022 vor. Cryptomining-Malware steht immer noch an erster Stelle, doch auf Backdoors und ➡ Weiterlesen

APT 41: Globale chinesische Cyberspionage-Kampagne

Cybereason deckt globale chinesische Cyberspionage-Kampagne auf: Unternehmen aus Nordamerika, Europa und Asien im Visier "Operation CuckooBees" enthüllt die schwer fassbare ➡ Weiterlesen

Mehr Schutz vor Emotet- und Qbot-Malware

Schädliche Spam-Kampagnen, die auf Unternehmen abzielen, verzehnfachen sich innerhalb eines Monats und verbreiten Qbot- und Emotet-Malware. Statt 3.000 Mails wurden ➡ Weiterlesen

Ginzo: Gratis-Malware für Cybergangster-Neukunden 

Was für Anbieter legitimer Software schon lange üblich ist, wird gerade auch zum Trend in der Malware-Branche: Neukunden mit attraktiven ➡ Weiterlesen

Test: Schutzprodukte für mobile Android-Lösungen 

Das Labor von AV-TEST hat erneut Schutz-Apps für Android-Geräte untersucht und bewertet. Neben drei Lösungen für den Endpoint-Bereich wurden auch ➡ Weiterlesen

76 Prozent der Unternehmen kämpften 2021 mit Ausfallzeiten und Datenverlusten

Acronis, ein führende Anbieter von Cyber Protection-Lösungen, hat seinen jährlichen Cyber Protection Week Global Report 2022 veröffentlicht. Dabei gaben 76 ➡ Weiterlesen

Die gefährlichen Neun: Malware im Kurzporträt

Die Vorstellung jeder Malware die auf Unternehmen zielt würde jeden Rahmen sprengen. Hier stellen die Varonis Threat Labs 9 wichtige ➡ Weiterlesen

Wie ernst ist die Bedrohung durch mobile Malware für Unternehmen?

Mobile Malware wird immer häufiger zu einer Bedrohung für Unternehmen. Die Zahl der Angreifer, die ihre Werkzeuge diversifiziert haben, um ➡ Weiterlesen