Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups

Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups
Anzeige

Beitrag teilen

Teil der Lazarus-Gruppe entwickelte komplexe Infrastruktur, Exploits und Malware-Implantate. Bedrohungsakteur BlueNoroff leert Konten von Kryptowährungs-Startups. BlueNoroff verwendet dabei umfassende Angriffsmethodik.

Die Sicherheitsexperten von Kaspersky haben eine Reihe von Angriffen des Advanced Persistent Threat (APT)-Akteurs BlueNoroff auf kleine und mittelständische Unternehmen weltweit aufgedeckt. Die Opfer erlitten dabei große Kryptowährungsverluste. Die Kampagne mit dem Namen ,SnatchCrypto‘ hat es auf verschiedene Unternehmen abgesehen, die sich mit Kryptowährungen sowie Smart Contracts, DeFi, Blockchain und der FinTech-Branche beschäftigen.

Anzeige

In der jüngsten Kampagne des Bedrohungsakteuers BlueNoroff nutzten die Angreifer auf subtile Weise das Vertrauen von Mitarbeitern in Zielunternehmen aus, indem sie ihnen unter dem Deckmantel eines „Vertrags“ oder einer anderen Geschäftsdatei eine vollwertige Windows-Backdoor mit Überwachungsfunktionen schickten. Um die Krypro-Wallet eines Opfers zu leeren, hat der Akteur umfangreiche und maliziöse Ressourcen entwickelt – darunter eine komplexe Infrastruktur, Exploits und Malware-Implantate.

BlueNoroff und Lazarus

BlueNoroff ist Teil der Lazarus-Gruppe und nutzt deren diversifizierte Struktur und ausgefeilte Angriffstechnologien. Diese APT-Gruppe ist bekannt für Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und beteiligte sich sogar an der Gründung von Scheinfirmen für die Entwicklung von Kryptowährungs-Software [2]. Die getäuschten Kunden installierten anschließend legitim aussehende Apps und erhielten nach einer Weile Updates inklusive Backdoor.

Anzeige

Dieser Zweig der APT-Gruppe ist inzwischen dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da die meisten Kryptowährungs-Unternehmen kleine oder mittelgroße Startups sind, können diese nicht viel Geld in ihr internes Sicherheitssystem investieren. Lazarus hat das erkannt und nutzt dies durch ausgeklügelte Social-Engineering-Methoden aus.

BlueNoroff gibt vor ein Risikokapitalunternehmen zu sein

Um das Vertrauen des Opfers zu gewinnen, gibt BlueNoroff vor, ein Risikokapitalunternehmen zu sein. Die Kaspersky-Forscher entdeckten über 15 Risikokapitalunternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht worden sind. Laut den Sicherheitsexperten haben reale Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun. Die Krypto-Sphäre der Start-ups wurde von den Cyberkriminellen aus einem bestimmten Grund ausgewählt: Start-ups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Aufgrund dessen ist es durchaus möglich, dass eine Risikogesellschaft ihnen einen Vertrag oder andere geschäftsbezogene Dateien schickt. Der APT-Akteur von Lazarus nutzt dies als Köder, um die Opfer dazu zu bringen, den Anhang in der E-Mail zu öffnen – ein makroaktiviertes Dokument.

Wenn solch ein Dokument offline geöffnet wird, stellen diese Datei keine Gefahr dar. Ist ein Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein anderes makroaktiviertes Dokument auf das Gerät des Opfers geladen und Malware installiert.

BlueNoroff verwendet umfassende Angriffsmethodik

Die BlueNoroff-APT-Gruppe verfügt über verschiedene Methoden in ihrem Kompromittierungsarsenal und gestaltet die Infektionskette je nach Situation entsprechend. Neben schädlichen Word-Dokumenten verbreitet der Akteur auch Malware, die als gezippte Windows-Verknüpfungsdateien getarnt ist. Diese sendet die Informationen des Opfers und den Powershell-Agenten zurück, wodurch eine Backdoor erstellt wird. Über diese setzt BlueNoroff weitere schädliche Tools zur Überwachung des Opfers ein: einen Keylogger und ein Screenshot-Tool.

Im Anschluss verfolgen die Angreifer ihre Opfer über Wochen und Monate. Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Nutzers, während sie eine Strategie für einen finanziellen Diebstahl planen. Sobald sie ein prominentes Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Wallets verwendet (etwa die Metamask-Erweiterungen), ersetzen sie deren Hauptkomponente durch eine gefälschte Version.

Transaktionsprozess wird abgefangen und geändert

Nach Angaben der Kaspersky-Experten erhalten die Angreifer eine Benachrichtigung, sobald eine große Überweisung entdeckt wird. Wenn der kompromittierte Nutzer versucht, einen Betrag auf ein anderes Konto zu überweisen, fangen sie den Transaktionsprozess ab und fügen ihre eigene Logik ein. Um die eingeleitete Zahlung abzuschließen, klickt der Nutzer dann auf die Schaltfläche „Genehmigen“. In diesem Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag; damit wird das Konto auf einen Schlag geleert.

„Da Angreifer immer wieder neue Wege digitaler Kompromittierung finden, sollten auch kleine Unternehmen ihre Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen“ kommentiert Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Insbesondere, wenn Unternehmen Krypro-Währungen nutzen, gilt es zu beachten, dass diese ein attraktives Ziel für APT-Akteure und Cyberkriminelle sind. Daher ist dieser Bereich besonders schützenswert.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

OneLogin: globale Studie zu Sicherheit im Homeoffice

OneLogin, eines der weltweit führenden Unternehmen im Bereich des Identitäts- und Zugriffsmanagements, hat heute eine neue globale Studie veröffentlicht, in ➡ Weiterlesen

Zyxel: neue KMU-Firewall-Modelle USG-FLEX-100/200/500

Während die Telearbeit zur neuen Normalität wird, stehen Unternehmen vor der Herausforderung, ihre Geschäftstätigkeit sicher zu gestalten und gleichzeitig die ➡ Weiterlesen

Malware, Phishing oder Unachtsamkeit – Was ist das größte Risiko für die IT-Sicherheit?

Nicht Angriffe von außen, sondern die eigenen Mitarbeiter stellen das größte Risiko für die IT-Sicherheit von Unternehmen dar. In der ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner ➡ Weiterlesen

DriveLock Release 2020 mit neuen Funktionen

Das neue DriveLock 2020.1 Release kommt mit zahlreichen Verbesserungen und implementiert Kundenwünsche als Updates: Schwachstellen-Scanner, Self-Service Portal für Anwender, Pre-Boot ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen