Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups

Lazarus: BlueNoroff leert Konten von Kryptowährungs-Startups

Beitrag teilen

Teil der Lazarus-Gruppe entwickelte komplexe Infrastruktur, Exploits und Malware-Implantate. Bedrohungsakteur BlueNoroff leert Konten von Kryptowährungs-Startups. BlueNoroff verwendet dabei umfassende Angriffsmethodik.

Die Sicherheitsexperten von Kaspersky haben eine Reihe von Angriffen des Advanced Persistent Threat (APT)-Akteurs BlueNoroff auf kleine und mittelständische Unternehmen weltweit aufgedeckt. Die Opfer erlitten dabei große Kryptowährungsverluste. Die Kampagne mit dem Namen ,SnatchCrypto‘ hat es auf verschiedene Unternehmen abgesehen, die sich mit Kryptowährungen sowie Smart Contracts, DeFi, Blockchain und der FinTech-Branche beschäftigen.

Anzeige

In der jüngsten Kampagne des Bedrohungsakteuers BlueNoroff nutzten die Angreifer auf subtile Weise das Vertrauen von Mitarbeitern in Zielunternehmen aus, indem sie ihnen unter dem Deckmantel eines „Vertrags“ oder einer anderen Geschäftsdatei eine vollwertige Windows-Backdoor mit Überwachungsfunktionen schickten. Um die Krypro-Wallet eines Opfers zu leeren, hat der Akteur umfangreiche und maliziöse Ressourcen entwickelt – darunter eine komplexe Infrastruktur, Exploits und Malware-Implantate.

BlueNoroff und Lazarus

BlueNoroff ist Teil der Lazarus-Gruppe und nutzt deren diversifizierte Struktur und ausgefeilte Angriffstechnologien. Diese APT-Gruppe ist bekannt für Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und beteiligte sich sogar an der Gründung von Scheinfirmen für die Entwicklung von Kryptowährungs-Software [2]. Die getäuschten Kunden installierten anschließend legitim aussehende Apps und erhielten nach einer Weile Updates inklusive Backdoor.

Dieser Zweig der APT-Gruppe ist inzwischen dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da die meisten Kryptowährungs-Unternehmen kleine oder mittelgroße Startups sind, können diese nicht viel Geld in ihr internes Sicherheitssystem investieren. Lazarus hat das erkannt und nutzt dies durch ausgeklügelte Social-Engineering-Methoden aus.

BlueNoroff gibt vor ein Risikokapitalunternehmen zu sein

Um das Vertrauen des Opfers zu gewinnen, gibt BlueNoroff vor, ein Risikokapitalunternehmen zu sein. Die Kaspersky-Forscher entdeckten über 15 Risikokapitalunternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht worden sind. Laut den Sicherheitsexperten haben reale Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun. Die Krypto-Sphäre der Start-ups wurde von den Cyberkriminellen aus einem bestimmten Grund ausgewählt: Start-ups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Aufgrund dessen ist es durchaus möglich, dass eine Risikogesellschaft ihnen einen Vertrag oder andere geschäftsbezogene Dateien schickt. Der APT-Akteur von Lazarus nutzt dies als Köder, um die Opfer dazu zu bringen, den Anhang in der E-Mail zu öffnen – ein makroaktiviertes Dokument.

Wenn solch ein Dokument offline geöffnet wird, stellen diese Datei keine Gefahr dar. Ist ein Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein anderes makroaktiviertes Dokument auf das Gerät des Opfers geladen und Malware installiert.

BlueNoroff verwendet umfassende Angriffsmethodik

Die BlueNoroff-APT-Gruppe verfügt über verschiedene Methoden in ihrem Kompromittierungsarsenal und gestaltet die Infektionskette je nach Situation entsprechend. Neben schädlichen Word-Dokumenten verbreitet der Akteur auch Malware, die als gezippte Windows-Verknüpfungsdateien getarnt ist. Diese sendet die Informationen des Opfers und den Powershell-Agenten zurück, wodurch eine Backdoor erstellt wird. Über diese setzt BlueNoroff weitere schädliche Tools zur Überwachung des Opfers ein: einen Keylogger und ein Screenshot-Tool.

Im Anschluss verfolgen die Angreifer ihre Opfer über Wochen und Monate. Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Nutzers, während sie eine Strategie für einen finanziellen Diebstahl planen. Sobald sie ein prominentes Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Wallets verwendet (etwa die Metamask-Erweiterungen), ersetzen sie deren Hauptkomponente durch eine gefälschte Version.

Transaktionsprozess wird abgefangen und geändert

Nach Angaben der Kaspersky-Experten erhalten die Angreifer eine Benachrichtigung, sobald eine große Überweisung entdeckt wird. Wenn der kompromittierte Nutzer versucht, einen Betrag auf ein anderes Konto zu überweisen, fangen sie den Transaktionsprozess ab und fügen ihre eigene Logik ein. Um die eingeleitete Zahlung abzuschließen, klickt der Nutzer dann auf die Schaltfläche „Genehmigen“. In diesem Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag; damit wird das Konto auf einen Schlag geleert.

„Da Angreifer immer wieder neue Wege digitaler Kompromittierung finden, sollten auch kleine Unternehmen ihre Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen“ kommentiert Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Insbesondere, wenn Unternehmen Krypro-Währungen nutzen, gilt es zu beachten, dass diese ein attraktives Ziel für APT-Akteure und Cyberkriminelle sind. Daher ist dieser Bereich besonders schützenswert.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen

KI-Dienste: Überwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Handlungsbedarf in Sachen DORA

Warum Finanzinstitute hinsichtlich DORA jetzt handeln müssen, um die operative Widerstandsfähigkeit zu sichern. Mit dem endgültigen Inkrafttreten des Digital Operational ➡ Weiterlesen

E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Wiederherstellung nach Cyberangriffen beschleunigen

Viele IT- und Sicherheitsverantwortliche machen sich Sorgen, ob ihr Unternehmen nach einem Cyberangriff noch geschäftsfähig ist, bzw. wie schnell es ➡ Weiterlesen

Bedrohungsschutz: APIs für IBM QRadar und Microsoft Sentinel

Ab sofort haben auch Nutzer von IBM QRadar SIEM und Microsoft Sentinel mittels eigener APIs Zugriff auf die umfangreichen Bedrohungsdaten ➡ Weiterlesen

PQC-Verschlüsselung: Post-Quantum Cryptography Standards

Vor knapp zwei Monaten hat das National Institute of Standards and Technology (NIST) einen ersten Entwurf zu einem Thema vorgelegt, ➡ Weiterlesen