Die nordkoreanische Lazarus Group nutzt fortschrittliche Malware für Job-Betrug
Summary:
Die nordkoreanische Lazarus Group setzt bei ihren Fake-Job-Betrügereien eine fortschrittlichere Malware namens LightlessCan ein, was die Erkennung erheblich erschwert. Die verbesserte Nutzlast, die erstmals bei einem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen entdeckt wurde, verfügt über innovative Funktionen, die ihre Tarnung verbessern und sie vor unbeabsichtigter Entschlüsselung durch Sicherheitsanalysten schützen. Die Hacker ködern die Opfer in der Regel mit gefälschten lukrativen Jobangeboten und verleiten sie dazu, eine bösartige Nutzlast herunterzuladen. Seit 2016 haben nordkoreanische Hacker Berichten zufolge schätzungsweise 3,5 Milliarden US-Dollar aus Kryptowährungsprojekten gestohlen.
Die nordkoreanische Hacker-Kohorte, die Lazarus Group, hat fortschrittliche Malware in ihren sogenannten Job-Scam-Tricks eingesetzt, was eine größere Herausforderung für die Erkennung darstellt als ihre vorherige Iteration. Am 29. September veröffentlichte Peter Kálnai, ein leitender Malware-Ermittler bei ESET, detailliert seine Analyse eines kürzlich durchgeführten gefälschten Rekrutierungsbetrugs, der auf ein spanisches Luft- und Raumfahrtunternehmen abzielte, bei dem eine zuvor nicht registrierte Hintertür namens LightlessCan identifiziert wurde.
Das MO für den Rekrutierungsbetrug der Lazarus Group besteht in der Regel darin, Opfer mit einer potenziell lukrativen Jobmöglichkeit bei einem seriösen Unternehmen zu ködern. Die ahnungslosen Kandidaten werden dann dazu verleitet, eine schädliche Nutzlast herunterzuladen, die als Dokumente getarnt ist und dann auf ihren Systemen verheerende Schäden anrichtet. Kálnai betonte jedoch, dass die neue LightlessCan-Nutzlast ein "großes Upgrade" gegenüber ihrem älteren Gegenstück BlindingCan darstellt.
LightlessCan imitiert verschiedene native Windows-Befehle und erleichtert so die heimliche Ausführung innerhalb der RAT, im Gegensatz zu auffälligen Konsolenausführungen. "Diese Methode bietet einen erheblichen Vorteil in Bezug auf die Ausweichfähigkeit, indem sie dazu beiträgt, Echtzeitüberwachungslösungen wie EDRs zu vermeiden und digitale forensische Tools nach einem Vorfall zu vereiteln", kommentierte er.
Die aktualisierte Nutzlast enthält auch das, was Kálnai als "Ausführungsleitplanken" bezeichnet, die sicherstellen, dass die Nutzlast nur auf dem System des Zielopfers entschlüsselt werden kann, wodurch eine unbeabsichtigte Entschlüsselung durch Sicherheitsanalysten umgangen wird. Die neue Malware wurde erstmals bei einem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen entdeckt, bei dem ein Mitarbeiter im Jahr 2022 eine Nachricht von einem fiktiven Meta-Personalvermittler, Steve Dawson, erhielt. Die Hacker schickten schnell ein paar unkomplizierte Codierungsherausforderungen, die mit der Malware gespickt waren.
Cyberspionage sei der Hauptantrieb für den Angriff der Lazarus Group auf das spanische Unternehmen gewesen, fügte Kálnai hinzu. Berichten zufolge haben nordkoreanische Hacker seit 2016 etwa 3,5 Milliarden US-Dollar aus Kryptowährungsprojekten gestohlen, wie die Blockchain-Forensikfirma Chainalysis am 14. September berichtete. Im Vorjahr wies das Cybersicherheitsunternehmen SentinelOne auf LinkedIn auf einen Jobbetrug hin, bei dem den Opfern im Rahmen einer Operation namens "Dream Job" Jobs bei Crypto.com angeboten wurden.
In der Zwischenzeit unternehmen die Vereinten Nationen konzertierte Anstrengungen, um Nordkoreas cyberkriminelle Aktivitäten auf der globalen Bühne einzudämmen, da sie wissen, dass Nordkorea die illegalen Gelder umleitet, um seine Atomraketeninitiative aufrechtzuerhalten.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.