Nordkoreas Lazarus-Gruppe nutzt moderne Malware zur Infiltration von Software-Lieferketten
Artikel jetzt als Podcast anhören
Nordkoreas Lazarus-Gruppe infiltriert Lieferketten mit getarnter Malware
Die Lazarus-Gruppe, eine staatlich gesponserte Hackergruppe aus Nordkorea, ist bekannt für ihre komplexen Cyberangriffe und ihren Fokus auf finanzielle Gewinne. Sicherheitsforscher haben nun eine neue, besonders heimtückische Kampagne aufgedeckt, bei der die Gruppe die Software-Lieferkette infiltriert, um Zugriff auf Kryptowährungsgeldbörsen zu erlangen.
Neue Malware mit verbesserten Funktionen
Im Zentrum der Kampagne steht eine neuartige Malware, die von Experten als besonders fortschrittlich eingestuft wird. Sie zeichnet sich durch verbesserte Funktionen und eine ausgeklügelte Tarnung aus, die es ihr ermöglicht, unentdeckt in legitime Software einzudringen. Die Malware wurde Ende 2024 entdeckt und unterscheidet sich deutlich von früheren Varianten der Lazarus-Gruppe. So kommuniziert sie über einen anderen Port und verwendet eine andere Server-Infrastruktur.
GitHub als Werkzeug für die Verbreitung
Die Ermittlungen haben ergeben, dass die Angreifer ein GitHub-Profil unter dem Pseudonym "SuccessFriend" nutzten, um die Malware zu verbreiten. Das Profil, das seit Juli 2024 aktiv war, täuschte zunächst legitime Entwicklungsaktivitäten vor, bevor im November 2024 Repositories mit Malware-bezogenem Code auftauchten. Diese Vorgehensweise verdeutlicht die Raffinesse der Gruppe, sich als Teil der Entwickler-Community zu tarnen.
Gezielte Angriffe auf Kryptowährungsgeldbörsen
Die Malware zielt speziell auf Kryptowährungsgeldbörsen wie Exodus und Atomic Wallet ab. Sie ist in der Lage, auf Linux-, MacOS- und Windows-Systemen zu operieren und sucht aktiv nach diesen Anwendungen, um sensible Daten wie private Schlüssel und Passwörter zu extrahieren. Die gestohlenen Informationen werden mit eindeutigen Identifikatoren und Zeitstempeln versehen und über verschlüsselte Kanäle an einen Command-and-Control-Server der Angreifer übertragen.
Manipulierung von Browser-Konfigurationen
Zusätzlich zu der Malware, die Kryptowährungsgeldbörsen direkt angreift, wurde auch eine Python-basierte Komponente entdeckt. Diese ist darauf ausgelegt, Browser-Konfigurationen zu manipulieren, insbesondere im Zusammenhang mit der beliebten MetaMask-Wallet-Erweiterung. Die Komponente sucht nach spezifischen Browser-Verzeichnissen auf verschiedenen Betriebssystemen und versucht, die Einstellungen der Erweiterung zu verändern, um Zugriff auf die darin gespeicherten Kryptowährungen zu erhalten.
Steigende Bedrohung durch Supply-Chain-Angriffe
Die neue Kampagne der Lazarus-Gruppe unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe. Die zunehmende Komplexität und Raffinesse der verwendeten Methoden macht es für Unternehmen und Einzelpersonen immer schwieriger, sich vor solchen Angriffen zu schützen. Die Entdeckung dieser Kampagne verdeutlicht die Notwendigkeit einer verstärkten Wachsamkeit und die Bedeutung von robusten Sicherheitsmaßnahmen zum Schutz vor dieser Art von Bedrohung.
Fazit
Die Lazarus-Gruppe demonstriert mit dieser Kampagne ihre anhaltende Fähigkeit, sich an neue Sicherheitsmaßnahmen anzupassen und innovative Angriffsmethoden zu entwickeln. Der Fokus auf Kryptowährungen und die Infiltration der Software-Lieferkette unterstreichen die Notwendigkeit einer ständigen Weiterentwicklung von Sicherheitsstrategien, um dieser wachsenden Bedrohung entgegenzuwirken.
Quellen: - https://www.developer-tech.com/news/lazarus-group-infiltrates-supply-chain-stealthy-malware/ - https://x.com/Gadget_Ry/status/1890081761759314232 - https://securelist.com/lazarus-new-malware/115059/ - https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2024-02-19-joint-cyber-security-advisory-englisch.pdf?__blob=publicationFile&v=2 - https://en.wikipedia.org/wiki/Lazarus_Group - https://app.daily.dev/posts/lazarus-group-infiltrates-supply-chain-with-stealthy-malware-mdyghyrjd - https://news.bitcoin.com/report-lazarus-group-exploits-github-npm-packages-in-cryptocurrency-malware-campaign/ - https://cloud.google.com/blog/topics/threat-intelligence/north-korea-cyber-structure-alignment-2023/ - https://securityscorecard.com/blog/operation-phantom-circuit-north-koreas-global-data-exfiltration-campaign/ - https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
