Neue Krypto-Diebstahl-Kampagne jagt nach Großwild
Eine neue Kampagne, die nicht auf die Krypto-Wallets von Einzelpersonen, sondern auf die Wallets größerer Organisationen abzielt, ist im Gange. Der neue böswillige Vorstoß hat den Spitznamen SnatchCrypto erhalten und soll von nordkoreanischen Staatsgeldern unterstützt werden.
Laut den Sicherheitsforschern, die die SnatchCrypto-Kampagne enthüllten, scheint die Einheit hinter der ganzen Sache ein Ableger der von Nordkorea unterstützten Lazarus APT namens BlueNoroff zu sein. Lazarus ist die größere Muttergesellschaft, die in den letzten Jahren mehrfach für Schlagzeilen gesorgt hat. Lazarus-Betreiber sind darauf spezialisiert, Finanzinstitute und Plattformen zu treffen, daher ist es kein Wunder, dass sie auch an SnatchCrypto beteiligt sind.
Bisher hat BlueNoroff mehrere Angriffe gegen Organisationen durchgeführt, die mit Kryptowährung im Allgemeinen verbunden sind. Die Forscher stellten fest, dass die BlueNoroff APT viel Zeit in Anspruch nimmt und sich sehr sorgfältig vorbereitet, wenn sie sich ihren Opfern nähert, und wahrscheinlich eine Mischung aus Social Engineering und gefälschter, aber glaubwürdiger Geschäftskorrespondenz verwendet, um das Vertrauen einiger Mitglieder ihrer Opfer zu gewinnen.
ZDNet zitierte die Forscher, die ein Paper zu BlueNoroff veröffentlichten und erklärten, dass sie so weit gehen, "Themen von Interesse" innerhalb der Zielorganisation zu lokalisieren und dann bösartige Dokumente und Dateien zu versenden, die eng mit dem Thema der internen Unternehmensdiskussion verbunden sind. Dies ist ein Maß an Hingabe und Präzision, das nur wenige APTs aufweisen können.
Die von BlueNoroff eingesetzten Angriffe nutzen eine Schwachstelle zur Remote-Codeausführung, um die Nutzlast von einem Server abzugreifen. Systemzugriffsberechtigungen werden eskaliert, bevor die Hauptnutzlast bereitgestellt wird.
Ein sehr interessanter Leckerbissen, den BlueNoroff bei ihrem Angriff macht, ist, dass sie ein VisualBasic-Makro haben, das verwendet wird, um den Link zu der bösartigen Nutzlast zu entfernen, die im Originaldokument gespeichert ist, mit dem der Angriff gestartet wurde. Dies bedeutet, dass die Datei in jeder Hinsicht bereinigt und sicher ist, was weitere Komplikationen für Sicherheitsforscher schafft.
Der Angriff endet mit der Bereitstellung eines maßgeschneiderten Backdoor-Tools, das das Hostsystem überwacht und versucht, abzufangen und einzugreifen, wenn es eine Kryptowährungstransaktion erkennt.
Laut Statistiken, die von Sicherheitsforschern mit Chainalysis zusammengestellt wurden, haben es nordkoreanische Bedrohungsakteure im Laufe des Jahres 2021 geschafft, unglaubliche 400 Millionen Dollar in Krypto zu stehlen.
