So greifen nordkoreanische Hacker hinter dem 1,4 Milliarden Dollar schweren Bybit-Diebstahl Krypto-Entwickler an.

Eine nordkoreanische Hackergruppe hat über einen neuen Job-Recruiting-Betrug, der informationsstehlende Malware in das System des Opfers einschleust, Kryptowährungsentwickler ins Visier genommen.

Einem aktuellen Bericht der Cybersicherheitsfirma Palo Alto Networks’ Unit 42 zufolge hat die berüchtigte Hackergruppe, bekannt unter Aliasen wie Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor oder UNC4899, sich auf LinkedIn als Personalvermittler ausgegeben.

Sobald der Kontakt hergestellt ist, werden die Entwickler mit gefälschten Stellenangeboten angelockt, gefolgt von einem scheinbar routinemäßigen Programmier-Test.

Doch in diesen auf GitHub gehosteten Projekten verbirgt sich ein Stealer-Malware-Toolkit, das den Rechner des Opfers unbemerkt infiziert.

Zunächst werden die Kandidaten aufgefordert, eine Datei auszuführen, die typischerweise wie eine einfache Programmieraufgabe aussieht. Nach der Ausführung auf dem System des Opfers wird jedoch eine Malware namens RN Loader ausgeführt, die Systeminformationen an den Angreifer zurücksendet.

Wenn das Ziel überprüft wurde, wird eine Nutzlast der zweiten Stufe, RN Stealer, eingesetzt, die alles von SSH-Schlüsseln und iCloud-Daten bis hin zu Kubernetes- und AWS-Konfigurationsdateien auslesen kann.

Besonders gefährlich an dieser Kampagne ist ihre heimtückische Natur, da die Malware nur unter bestimmten Bedingungen, wie z. B. IP-Adresse oder Systemeinstellungen, aktiviert wird, was die Erkennung durch Forscher erschwert.

Es läuft außerdem vollständig im Arbeitsspeicher ab und hinterlässt daher nur sehr geringe digitale Spuren.

Der langsame Pisces wurde mit hochkarätigen Diebstählen in Verbindung gebracht, darunter der 1,4 Milliarden Dollar schwere Bybit-Exploit Anfang des Jahres.

Die Taktiken der Gruppe haben sich im Laufe der Zeit kaum verändert, was laut Unit 42 möglicherweise daran liegt, wie erfolgreich und gezielt ihre Methoden sind.

„Vor dem Bybit-Hack gab es in Open-Source-Quellen nur sehr wenig detaillierte Informationen und Berichte über die Kampagne, daher ist es möglich, dass die Bedrohungsakteure keinen Grund sahen, etwas zu ändern“, so Andy Piazza, Senior Director of Threat Intelligence bei Unit 42.

Stattdessen verbesserten die Bedrohungsakteure laut Forschern sogar ihre operative Sicherheit und wurden dabei beobachtet, wie sie YAML- und JavaScript-Templating-Tricks einsetzten, um bösartige Befehle zu verbergen.

„Die Fokussierung auf über LinkedIn kontaktierte Personen im Gegensatz zu breit angelegten Phishing-Kampagnen ermöglicht es der Gruppe, die späteren Phasen der Kampagne genau zu steuern und Nutzdaten nur an die erwarteten Opfer zu liefern“, fügte der Sicherheitsforscher Prashil Pattni hinzu.

Nordkoreanische Hacker zielen auf IT-Fachkräfte ab.

Nordkoreanische Hackergruppen waren für einige der größten Cyber-Diebstähle im Kryptosektor verantwortlich.

Daten von Arkham Intelligence zeigen, dass eine mit der nordkoreanischen Lazarus-Gruppe verbundene Wallet zum Zeitpunkt der Berichterstattung Bitcoin im Wert von über 800 Millionen Dollar enthielt.

Ein Anfang des Monats veröffentlichter Bericht der Google Threat Intelligence Group verzeichnete einen Anstieg nordkoreanischer IT-Arbeiter, die in Technologie- und Kryptofirmen, insbesondere in Europa, eindringen.

Im vergangenen Jahr berichtete Invezz, dass zwei Hackergruppen mit den Aliasnamen Sapphire Sleet und Ruby Sleet für erhebliche Verluste im Kryptobereich verantwortlich waren.

Es stellte sich heraus, dass Cyberkriminelle sich als Personalvermittler, Investoren und sogar als Mitarbeiter der angegriffenen Unternehmen ausgaben, um erste Sicherheitskontrollen zu umgehen und Schadsoftware einzuschleusen.

Sapphire Sleet konzentrierte sich stark auf Krypto-Unternehmen und soll innerhalb von sechs Monaten mindestens 10 Millionen Dollar an das nordkoreanische Regime zurückgeschleust haben.