Nordkoreanische Hacker haben es auf Kryptoarbeiter abgesehen
Hacker, von denen angenommen wird, dass sie mit der in Nordkorea ansässigen cyberkriminellen Gruppe Lazarus in Verbindung stehen, haben einen weiteren digitalen Überfall versucht, indem sie es auf die Kryptowährungsfirma deBridge Finance abgesehen haben.
Wie von Bleeping Computer berichtet , fungiert deBridge als „Liquiditätsübertragungsprotokoll, das eine dezentralisierte Übertragung von Daten und Vermögenswerten“ zwischen mehreren Blockchain-Plattformen ermöglicht.
Allein diese Tatsache war für Lazarus Grund genug, das Unternehmen Berichten zufolge zu seinem neuesten Ziel zu machen. Der Verstoß wurde versucht, indem eine Phishing-E-Mail an Mitarbeiter gesendet wurde. Wenn es geöffnet wird, infiziert es das System mit Malware und ermöglicht es ihm anschließend, vertrauliche Informationen von Windows-Geräten im Netzwerk zu erhalten.
Es würde auch den Grundstein dafür legen, dass in einem fortgeschrittenen Stadium des Cyberangriffs eine weitere Runde bösartigen Codes aktiviert wird.
Mitarbeiter von deBridge Finance erhielten letzte Woche eine E-Mail von den Hackern, die sich als Mitbegründer der Firma, Alex Smirnov, ausgaben. Die E-Mail enthielt falsche Angaben über „neue Gehaltsanpassungen“ über eine HTML-Datei.
Diese Datei war als PDF maskiert, zusammen mit einer Windows-Verknüpfungsdatei (.LNK), die versuchte, Opfer hereinzulocken, indem sie sich als Passwort-Textdatei ausgab.
Sobald die manipulierte PDF-Datei geöffnet wird, wird anschließend ein Cloud-Speicherort gestartet, der den Benutzer auffordert, auf die gefälschte Textdatei zurückzugreifen, um ein Passwort zu erhalten. Von hier aus verbindet sich die LNK-Datei mit der Eingabeaufforderung mit einem Befehl, der eine entfernt gespeicherte Nutzlast abruft und lädt.
Wenn die Hacker nun mit ihrer Malware in das System eindringen, könnten sie relevante Informationen über das Zielsystem erhalten, wie z. B. Benutzername, Betriebssystem, CPU, Netzwerkadapter und laufende Prozesse.
Obwohl die Mehrheit der Mitarbeiter, die die E-Mail gesehen haben, sie als verdächtig gemeldet haben, war sich eine Person der irreführenden Natur des Inhalts nicht bewusst. Nachdem dieser Mitarbeiter das gefälschte Dokument heruntergeladen und geöffnet hatte, sagte Smirnov, er könne den Angriff selbst untersuchen.
Nordkoreanische Hacker der Lazarus-Gruppe stehen im Verdacht, hinter diesem speziellen Vorfall zu stecken, da bei einem früheren Angriff Ähnlichkeiten in Dateinamen und Infrastruktur entdeckt wurden.
Die Lazarus-Gruppe war in letzter Zeit sicherlich aktiv. Es hat kürzlich versucht, Kryptoexperten mit einer ähnlichen E-Mail-Kampagne auszutricksen, indem es sich als Kryptowährungsbörse Coinbase ausgibt. An anderer Stelle wurden die Hacker Anfang dieses Jahres mit einem riesigen Krypto-Überfall in Höhe von 617 Millionen US-Dollar in Verbindung gebracht.