Wer ist die Lazarus Gruppe?

Das Federal Bureau of Investigation (FBI), die Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums (CISA) und das US-Finanzministerium haben gemeinsam eine Empfehlung veröffentlicht. In dieser ging es um Kryptowährungs- und Blockchain-Organisationen vor einer berüchtigten Phishing-Kampagne der Hackergruppe Lazarus APT zu warnen.

Die wichtigsten Ziele der Hacker sind Kryptowährungsbörsen, Investoren, Handelsunternehmen und Blockchain-Organisationen. Berichten zufolge sponsert Nordkorea diese derzeit aktive Kampagne. Damit wollen sie sich Zugang zu Systemen verschaffen, um gefälschte Trades zu erleichtern, Gelder, Daten und wertvolle Schlüssel zu stehlen etc.

Es ist erwähnenswert, dass nordkoreanische Hacker in den letzten paar Jahren beschuldigt wurden, Gelder im Wert von über 1,7 Milliarden US-Dollar aus verschiedenen Kryptowährungen gestohlen zu haben. Experten gehen davon aus, dass die nordkoreanischen Hacker die gestohlenen Gelder als langfristige Investition aufbewahren.

Wie geht Lazarus vor?

Der Angriff beginnt damit, dass die Hacker eine große Anzahl von Phishing-E-Mails an die Mitarbeiter des Zielunternehmens senden. Sie werden mit dem Angebot besserer Arbeitsmöglichkeiten gelockt. Die Empfänger werden aufgefordert, auf Anwendungen zu klicken. Dabei handelt es sich scheinbar um Tools für den Handel mit Kryptowährungen und Preisschätzungen für Windows und macOS.

Dem CISA-Bericht zufolge sind sie jedoch in Wirklichkeit mit der Malware TraderTraitor geladen. Wenn die Nutzlast geöffnet wird, können die Hacker Befehle ausführen und zusätzliche Malware senden. Somit erhalten sie Zugang zum Computer des Opfers und zum Unternehmensnetzwerk zu erhalten.

Zu den mit TraderTraitor trojanisierten Anwendungen gehören TokenAIS, CryptAIS und Esilet. Bei diesen Anwendungen handelt es sich um plattformübergreifende, Electron-basierte Plattformen, die mit der Node.js und JavaScript-Laufzeitumgebung entwickelt wurden.

Lazarus APT hat verschiedene Taktiken eingesetzt, um diese Kampagne erfolgreich zu machen. Dazu gehören Spear-Phishing und Social Engineering.

Außerdem installieren sie eine Reihe bösartiger Anwendungen, die TraderTraitor-Malware enthalten, mit der Systemdaten/Informationen gestohlen, ein Fernzugriffstrojaner installiert und andere bösartige Aktivitäten durchgeführt werden können.

Laut CISA verwendet die Lazarus-Gruppe Kryptoanwendungen, die mit der AppleJeus-Backdoor modifiziert wurden, um sich auf den Zielgeräten zu etablieren.

Wer ist Lazarus?

Die Lazarus Group ist wohl eine der aktivsten und gefährlichsten Advanced Persistent Threat (APT)-Gruppen, die mit aufsehenerregenden Kampagnen und dem Diebstahl großer Summen an Kryptowährung und anderen Geldern in Verbindung gebracht wird.

Sie wird durch das Reconnaissance General Bureau (RGB) der nordkoreanischen Regierung unterstützt. Die US-Sicherheitsbehörden untersuchen die Angriffstaktiken und -techniken der Gruppe schon seit vielen Jahren.

Letzte Woche kündigte das US-Außenministerium eine Belohnung von bis zu 5 Millionen Dollar für Hinweise an, die dazu beitragen könnten, die Geldwäscheoperationen nordkoreanischer Hacker zu unterbinden, und verhängte Sanktionen gegen die Lazarus Group wegen ihrer Beteiligung am Diebstahl von 650 Millionen Dollar aus dem Ronin-Netzwerk.

Das Netzwerk verbindet die Ethereum-Blockchain mit dem Videospiel Axie Infinity.