Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat zusammen mit dem Federal Bureau of Investigation (FBI) und dem Finanzministerium vor einer neuen Reihe von Cyberangriffen gewarnt, die von der Lazarus Group durchgeführt werden und auf Blockchain-Unternehmen abzielen.
Bei den Infiltrationen, die als Cluster TraderTraitor bezeichnet werden, handelt es sich um nordkoreanische staatlich geförderte Advanced Persistent Threats (APT), die seit mindestens 2020 Unternehmen der Web3.0-Branche angreifen.
Zu den angegriffenen Organisationen gehören Kryptowährungsbörsen, dezentrale Finanzprotokolle (DeFi), Kryptowährungs-Videospiele, Kryptowährungshandelsunternehmen, Risikokapitalfonds, die in Kryptowährung investieren, und einzelne Besitzer großer Mengen an Kryptowährung oder wertvoller nicht-fungibler Token (NFTs).
Die Angriffsketten beginnen damit, dass der Bedrohungsakteur seine Opfer über verschiedene Kommunikationsplattformen anspricht, um sie zum Herunterladen von bewaffneten Kryptowährungs-Apps für Windows und macOS zu verleiten und anschließend den Zugang zu nutzen, um die Malware im Netzwerk zu verbreiten und Folgeaktivitäten durchzuführen, um private Schlüssel zu stehlen und abtrünnige Blockchain-Transaktionen zu initiieren.
„Die Angriffe beginnen mit einer großen Anzahl von Spear-Phishing-Nachrichten, die an Angestellte von Kryptowährungsunternehmen geschickt werden“, heißt es in dem Bericht. „Die Nachrichten imitieren oft eine Rekrutierungsaktion und bieten hochbezahlte Jobs an, um die Empfänger zum Herunterladen von mit Malware verseuchten Kryptowährungsanwendungen zu verleiten.
Dies ist bei weitem nicht das erste Mal, dass die Gruppe maßgeschneiderte Malware einsetzt, um Kryptowährungen zu stehlen. Andere Kampagnen der Lazarus Group waren Operation AppleJeus, SnatchCrypto und in jüngster Zeit die Verwendung von trojanisierten DeFi-Wallet-Apps, um Windows-Rechner zu infiltrieren.
Die Bedrohung durch TraderTraitor besteht aus einer Reihe von gefälschten Krypto-Apps, die auf Open-Source-Projekten basieren und vorgeben, Kryptowährungshandel oder Preisvorhersage-Software zu sein, um dann den Manuscrypt-Trojaner für den Fernzugriff auszuliefern, eine Schadsoftware, die zuvor mit den Hacking-Kampagnen der Gruppe gegen die Kryptowährungs- und Handyspiele-Industrie in Verbindung gebracht wurde.
Die Liste der bösartigen Apps findest du unten –
DAFOM (dafom[.]dev)
TokenAIS (tokenais[.]com)
CryptAIS (cryptais[.]com)
AlticGO (alticgo[.]com)
Esilet (esilet[.]com), und
CreAI Deck (creaideck[.]com)
Die Enthüllung kommt weniger als eine Woche, nachdem das Finanzministerium den Kryptowährungsdiebstahl des Ronin-Netzwerks von Axie Infinity der Lazarus-Gruppe zugeschrieben und die Wallet-Adresse, die zum Empfang der gestohlenen Gelder verwendet wurde, sanktioniert hat.
„Nordkoreanische staatlich unterstützte Cyber-Akteure nutzen eine ganze Reihe von Taktiken und Techniken, um interessante Computernetzwerke auszunutzen, sensibles geistiges Eigentum in Kryptowährungen zu erwerben und finanzielle Vermögenswerte zu erlangen“, so die Behörden.
„Diese Akteure werden wahrscheinlich weiterhin Schwachstellen von Kryptowährungsfirmen, Glücksspielunternehmen und Börsen ausnutzen, um Gelder zur Unterstützung des nordkoreanischen Regimes zu generieren und zu waschen.