Spezieller Trojaner eingeschleust
Der Sicherheitsanbieter Secureworks hat Angriffe auf Mitarbeiter eines Londoner Anbieters von Kryptowährungen analysiert, wie zdnet.de dazu berichtete. Ziel der Angriffe war es Bitcoins zu stehlen. Die Hacker, die angeblich zur Lazarus-Gruppe gehören sollen, haben eigens einen Trojaner über eine speziell gestaltete Word-Datei verteilt.
Diese Word-Datei wurde mit Spear-Phishing-E-Mails lanciert, die an hochrangige Mitarbeiter gerichtet waren. Der Inhalt des Dokuments betraf Informationen über eine offene Stelle als Chief Financial Officer eines anderen Unternehmens.
Vakante Stelle als Lockvogel
Wer sich von der E-Mail locken lässt und die angehängte Datei öffnet, den fordert Word auf, die Bearbeitung der Datei zu aktivieren. Dies wiederum führt ein eingebettetes Makro aus, das die gefälschte Stellenbeschreibung anzeigt. Sie basiert auf einem realen LinkedIn-Profil eines asiatischen Managers. Während das Opfer die Beschreibung liest, wird im Hintergrund der Remote Access Trojan eingerichtet, der den Angreifern die vollständige Kontrolle des Rechners des Opfers ermöglicht – inklusive der Installation weiterer Schadsoftware.
Attacke lässt Lazarus-Gruppe vermuten
Obwohl die Forscher von einem speziell für diese Attacke entwickelten Trojaner sprechen, sehen sie Gemeinsamkeiten mit früheren Angriffen der Lazarus-Gruppe, die von der nordkoreanischen Regierung erhalten soll. Dafür spricht die zum Beispiel die Kommunikation mit einem Befehlsserver, für die der Trojaner Komponenten des C2-Protokolls nutze. Auch habe die Gruppe schon in der Vergangenheit mit Texten aus echten Stellenausschreibungen gearbeitet.
Bisher war Rüstungsbranche das Ziel der Begierde
Die Gruppe ging bisher, den Forschern zufolge, in erster Linie gegen Unternehmen in der Rüstungsbranche vor. Nordkorea beschäftige sich jedoch schon länger mit Bitcoins. Bereits seit 2013 seien bei Untersuchungen zu Kryptowährungen und Spionagekampagnen zur Beschaffung des virtuellen Zahlungsmittels immer wieder Nutzernamen und IP-Adressen aus Nordkorea aufgetaucht.
Secureworks teilte dazu mit:
„Unsere Folgerung basierend auf früheren Aktivitäten ist, dass dies das Ziel der Angriffe ist, besonders angesichts der jüngsten Berichte von anderen Quellen, wonach Nordkorea seine Ausrichtung auf Bitcoins und deren Beschaffung verschärft hat“
Zahlreiche Hackerangriffe weltweit
Die Lazarus-Gruppe wird mit verschiedenen Hackerangriffen weltweit in Verbindung gebracht. Sie soll für den Angriff auf Sony Pictures im Jahr 2014 und den Ausbruch der Ransomware WannaCry verantwortlich sein. Auch ein Einbruch in die Systeme einer Bank in Bangladesch, bei dem rund 80 Millionen Dollar erbeutet wurden, soll auf ihr Konto gehen.
