Nordkoreanische Hackergruppe Lazarus setzt hochentwickelte Malware für neuen Beschäftigungsbetrug ein

Die Lazarus Group, ein nordkoreanisches Hackerkollektiv, hat für ihre betrügerischen Beschäftigungssysteme eine neue und hochentwickelte Variante der Schadsoftware namens LightlessCan eingesetzt, deren Erkennung im Vergleich zu ihrem Vorgänger eine erhebliche Herausforderung darstellt.
Diese Erkenntnisse gab ESETs leitender Malware-Forscher Peter Kálnai in einem Post am 29. September bekannt, nachdem er einen Fake-Job-Angriff auf ein spanisches Luft- und Raumfahrtunternehmen analysiert hatte.
Die typische Vorgehensweise der Lazarus Group besteht darin, Opfer mit verlockenden Stellenangeboten bei renommierten Unternehmen anzulocken und sie dazu zu verleiten, als Dokumente getarnte Schadsoftware herunterzuladen.
LightlessCan stellt jedoch eine bemerkenswerte Weiterentwicklung gegenüber seinem Vorgänger BlindingCan dar. Kálnai erklärte, dass LightlessCan verschiedene native Windows-Befehle nachahmen kann, was eine diskrete Ausführung innerhalb des Remote Access Trojan (RAT) selbst ermöglicht und laute Konsolenausführungen minimiert.
Diese verbesserte Tarnung macht es für Echtzeit-Überwachungslösungen wie EDRs und digitale forensische Post-mortem-Tools schwierig, sie zu erkennen.
LESEN SIE MEHR: Das Risikokapitalunternehmen Paradigm kritisiert den unkonventionellen Ansatz der SEC im Binance-Fall
Darüber hinaus enthält die neue Schadsoftware „Ausführungsschutzmaßnahmen“, die gewährleisten, dass nur der Computer des beabsichtigten Opfers die Nutzlast entschlüsseln kann. So wird eine unbeabsichtigte Entschlüsselung durch Sicherheitsforscher verhindert.
Ein bekannter Fall dieser neuen Schadsoftware betraf ein spanisches Luft- und Raumfahrtunternehmen, als ein Mitarbeiter im Jahr 2022 eine Nachricht von einem falschen Meta-Personalvermittler namens Steve Dawson erhielt. Anschließend schickten die Hacker zwei in die Schadsoftware eingebettete Codierungsaufgaben.
Das Hauptmotiv der Lazarus Group für den Angriff auf das spanische Luft- und Raumfahrtunternehmen war Cyberspionage.
Insbesondere nordkoreanische Hacker sind seit 2016 für den Diebstahl von schätzungsweise 3,5 Milliarden Dollar aus Kryptowährungsprojekten verantwortlich, wie das Blockchain-Forensikunternehmen Chainalysis am 14. September berichtete.
Im September 2022 gab das Cybersicherheitsunternehmen SentinelOne eine Warnung vor einem Fake-Job-Betrug auf LinkedIn heraus, der Teil einer Kampagne namens „Operation Dream Job“ warnte, bei der potenziellen Opfern Stellen bei Crypto.com angeboten wurden.
Gleichzeitig arbeiten die Vereinten Nationen aktiv daran, Nordkoreas Cyberkriminalität auf internationaler Ebene Einhalt zu gebieten, da man davon ausgeht, dass die gestohlenen Gelder zur Unterstützung des nordkoreanischen Atomraketenprogramms verwendet werden.
Diese laufenden Bemühungen unterstreichen die globalen Auswirkungen und Folgen der von Gruppen wie Lazarus orchestrierten Cyberangriffe.
Weitere Geschichten:
SEC verschiebt Entscheidung über Spot-Bitcoin-ETF-Vorschläge angesichts drohender Regierungsschließung
Risikokapitalfirma Paradigm kritisiert unkonventionellen Ansatz der SEC im Binance-Fall
Space and Time integriert seinen Proof of SQL Verifier in Chainlink-Knoten