Die Bedrohungsakteure der Lazarus-Gruppe haben beobachtet, dass sie gefälschte Kryptowährungs-Apps als Köder nutzen, um eine bisher nicht dokumentierte Version der AppleJeus-Malware zu verbreiten, so die neuen Erkenntnisse von Volexity.
„Bei dieser Aktivität handelt es sich um eine Kampagne, die wahrscheinlich Kryptowährungsnutzer und Organisationen mit einer Variante der AppleJeus-Malware über bösartige Microsoft Office-Dokumente anspricht“, so die Forscher Callum Roxan, Paul Rascagneres und Robert Jan Mora.
Die nordkoreanische Regierung verfolgt bekanntermaßen einen dreigleisigen Ansatz, indem sie bösartige Cyber-Aktivitäten einsetzt, um Informationen zu sammeln, Angriffe durchzuführen und illegale Einnahmen für das von Sanktionen betroffene Land zu erzielen. Die Bedrohungen werden unter dem Namen Lazarus Group (auch bekannt als Hidden Cobra oder Zinc) verfolgt.
„Nordkorea hat Cyber-Diebstähle gegen Finanzinstitute und Kryptowährungsbörsen auf der ganzen Welt verübt und dabei möglicherweise Hunderte von Millionen Dollar gestohlen, wahrscheinlich, um die Prioritäten der Regierung zu finanzieren, wie z. B. ihre Nuklear- und Raketenprogramme“, heißt es in der von den US-Geheimdiensten veröffentlichten jährlichen Bedrohungsbewertung für 2021.
Anfang April dieses Jahres warnte die Cybersecurity and Infrastructure Security Agency (CISA) vor einem Aktivitätscluster mit dem Namen TraderTraitor, das Kryptowährungsbörsen und Handelsunternehmen durch trojanisierte Krypto-Apps für Windows und macOS angreift.
Während die TraderTraitor-Angriffe in der Bereitstellung des Manuscrypt-Trojaners für den Fernzugriff gipfelten, nutzt die neue Aktivität eine vermeintliche Krypto-Handelswebsite namens BloxHolder, eine Nachahmung der legitimen HaasOnline-Plattform, um AppleJeus über eine Installationsdatei zu verbreiten.
AppleJeus, das 2018 erstmals von Kaspersky dokumentiert wurde, ist so konzipiert, dass es Informationen über das infizierte System (d. h. MAC-Adresse, Computername und Betriebssystemversion) sammelt und Shellcode von einem Command-and-Control-Server (C2) herunterlädt.
Die Angriffskette soll im Oktober 2022 eine leichte Abweichung erfahren haben, wobei der Angreifer von MSI-Installationsdateien zu einem mit einer Sprengfalle versehenen Microsoft Excel-Dokument wechselte, das Makros verwendet, um eine per Fernzugriff gehostete Nutzlast, ein PNG-Bild, von OpenDrive herunterzuladen.
Die Idee hinter dieser Umstellung ist wahrscheinlich, die statische Erkennung durch Sicherheitsprodukte zu verringern, so Volexy. Es konnte die Bilddatei („Background.png“) von dem OpenDrive-Link nicht erhalten, stellte aber fest, dass sie drei Dateien einbettet, einschließlich einer verschlüsselten Nutzlast, die anschließend extrahiert und auf dem angegriffenen Host gestartet wird.
„Die Lazarus Group setzt ihre Bemühungen fort, Kryptowährungsnutzer ins Visier zu nehmen, trotz der anhaltenden Aufmerksamkeit für ihre Kampagnen und Taktiken“, so die Schlussfolgerung der Forscher.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Microsoft: Vorsicht vor der russischen Winter-Cyber-Offensive