Nordkoreas digitale Armee hat ein neues Ziel: Bitcoin! Ein Blick in ihren neuesten und immer noch aktiven Betrieb ...

Sie sind im Untergrund des Darknet als "The Lazarus Group" bekannt, aber Geheimdienstquellen sagen, dass sie Nordkoreas digitale Armee sind. Vielleicht haben Sie den Namen schon einmal im berüchtigten Hack von Sony Pictures 2014 gehört.

Ihre neueste Operation hat jedoch ein neues Ziel - die Kryptowährung - und wurde vom Cybersicherheitsunternehmen Secureworks entdeckt.

Der Schwerpunkt des Angriffs liegt auf Führungskräften von Finanzunternehmen, die Kryptowährungen halten und verwalten. Dies funktioniert folgendermaßen: Eine Führungskraft erhält eine E-Mail, in der angegeben wird, dass die Möglichkeit besteht, in den Reihen aufzusteigen und Finanzvorstand des Unternehmens zu werden.

Es gibt einen Anhang in Form einer Microsoft Word-Datei. Beim Öffnen erhalten sie eine Benachrichtigung "Bearbeitung muss aktiviert sein, um das Dokument anzuzeigen". Wenn der Benutzer auf "OK" klickt, wird ein eingebettetes Skript gestartet, das zwei Aufgaben ausführt.

Zuerst wird ein harmloses Dokument erstellt und dann geöffnet - eine tatsächliche Jobbeschreibung, um den Benutzer abzulenken und zu verdächtigen.

Zweitens startet heimlich die Instillation eines Trojaner-Virus.

Das harmlos aussehende Jobbeschreibungsdokument (Bild: Secureworks)

Der Virus wurde entwickelt, um den Hackern vollen Fernzugriff zu ermöglichen. Der Computer ist jetzt vollständig unter ihrer Kontrolle - sie können protokollieren, was eingegeben wird, sehen, was auf dem Bildschirm angezeigt wird, und auf Wunsch sogar mehr Malware installieren.

Während Trojaner mit Fernzugriff nichts Neues sind und sogar in unterirdischen Darknet-Foren gekauft und verkauft werden können, ist das Besondere daran, dass es sich nicht um eine Variation bisher bekannter Trojaner handelt - dieser scheint von Grund auf neu codiert worden zu sein .

Bei der Auswertung des Codes erkannte die Secureworks Counter Threat Unit etwas aus früheren nordkoreanischen Operationen - es ist stark auf das C2-Protokoll angewiesen, das die Lazarus Group in der Vergangenheit für die Kommunikation mit ihren Hauptbefehls- und Kontrollservern verwendet hat.

Die ersten Entdeckungen dieses neuen Angriffs begannen im Oktober und dauern bis heute an.

Personen, die sich als Ziel solcher Angriffe fühlen, wird empfohlen, sicherzustellen, dass Makros in Microsoft Word deaktiviert sind und auf Systemen mit vertraulichen Daten eine Zwei-Faktor-Authentifizierung erfordern.

-------
Autor: Ross Davis
Nachrichtenredaktion in San Francisco