Lazarus Hacker nutzten LinkedIn, um eine Krypto-Firma anzugreifen

Die nordkoreanische Hacker-Gruppe Lazarus ist wieder da, und wieder einmal versucht sie, so viele digitale Münzen wie möglich zu stehlen. Das berüchtigte Hacking-Team hat anscheinend eine neue Kampagne entwickelt, bei der es darum geht, die Krypto-Organisation durch Ausnutzung von LinkedIn und des menschlichen Elements der Unternehmen anzugreifen.

Lazarus ist mit einer neuen Kampagne wieder da

Gemäß einem kürzlich von Forschern von F-Secure veröffentlichten Bericht wurde die Krypto-Organisation kürzlich im Rahmen einer massiven neuen Kampagne ins Visier genommen. Die Kampagne zielte angeblich auf Unternehmen und Organisationen in mindestens 14 verschiedenen Ländern ab.

Wie bereits erwähnt, ist der Angreifer Lazarus, der mit einer Reihe von Hacks gegen Krypto-Unternehmen in Verbindung gebracht wurde.

Nordkoreanische Hacker zielen seit geraumer Zeit auf Krypto ab, da digitale Münzen es relativ einfach machen, Wirtschaftssanktionen gegen das Land zu umgehen. Die Gruppe selbst ist laut US-Regierung seit mindestens 2007 aktiv.

Seitdem führte sie zahlreiche große Hacks und massive Kampagnen durch, einschließlich des globalen Ransomware-Angriffs von vor einigen Jahren, bekannt als WannaCry.

Wie läuft der Angriff ab?

Die neue Kampagne von Lazarus scheint auf Stellenanzeigen von LinkedIn zu basieren, bei denen die Hacker auf Systemadministratoren abzielen. Sie senden den Administratoren ein Phishing-Dokument an ihr persönliches LinkedIn-Konto. Das Dokument bezieht sich auf eine Blockchain-Tech-Firma, die angeblich einen neuen Sysadmin sucht.

Das Opfer muss jedoch zunächst Macros aktivieren, damit der bösartige Code innerhalb des Dokuments effektiv sein kann. Sobald die erforderliche Genehmigung erteilt ist, führt das Dokument eine Datei namens mshta.exe aus und ruft einen mit VBScript verknüpften Link auf.

Das Skript führt dann Systemprüfungen durch und sendet Betriebsdaten an den C2-Server der Hacker. Nachdem sie das Gerät infiziert haben, sammeln die Hacker die Anmeldedaten vom Computer des Benutzers, und am meisten scheinen sie an denjenigen interessiert zu sein, die einen finanziellen Wert besitzen, was meistens Krypto-Wallets und Bankkonten einschließt.

F-Secure bemerkte auch, dass Lazarus versucht, die Spuren seiner Aktivität zu löschen und so verstohlen wie möglich zu sein, obwohl einige Spuren von den Forschern noch gefunden werden können.