Nordkoreanische Hacker gründeten gefälschte US-Unternehmen, um Kryptowährungsentwickler anzugreifen: Bericht

Nordkoreanische Hacker, die mit der Lazarus-Gruppe in Verbindung stehen, gründeten drei Briefkastenfirmen – zwei davon mit Sitz in den USA – um Kryptowährungsentwickler mit Malware anzugreifen, so ein Bericht der Cybersicherheitsfirma Silent Push.

BlockNovas LLC und SoftGlide LLC wurden in den US-Bundesstaaten New Mexico bzw. New York registriert. Eine dritte Gesellschaft, Angeloper Agency, war ebenfalls mit der Kampagne verbunden, jedoch nicht in den USA registriert.

Die nordkoreanische APT-Gruppe Contagious Interview (eine Untergruppe von Lazarus) steckte hinter der Kampagne, bei der drei gefälschte Kryptowährungsunternehmen als Tarnung für Malware-Verteilung dienten.

Zu den mit ihren Operationen verbundenen Domains und Subdomains gehören lianxinxiao[.]com, blocknovas[.]com und apply-blocknovas[.]site.

Das Ziel der Gründung dieser Einheiten war es, Malware über gefälschte Vorstellungsgespräche an Kryptowährungsjob-Suchende zu verteilen, sagten die Forscher von Silent Push.

Ihr Betrieb zielt darauf ab, Kryptowährungsentwickler mit Malware anzugreifen, um ihre Krypto-Wallets zu kompromittieren und Anmeldeinformationen zu stehlen, um weitere Angriffe auf legitime Unternehmen zu erleichtern.

Laut den Forschern verwendeten die Täter gefälschte Personen und Adressen, um diese Unternehmen zu gründen. Die Gruppe nutzte von KI-generierte Mitarbeiterprofile, um den gefälschten Unternehmen Legitimität zu verleihen, sagten die Forscher von Silent Push.

Die nordkoreanische Lazarus-Gruppe, ein staatlich gefördertes Cyberkriminalitäts-Syndikat, hat eine Geschichte der Nutzung von gefälschten Stellenanzeigen als Vektor zur Verbreitung von Malware, insbesondere um Kryptowährungsfirmen ins Visier zu nehmen und Gelder sowie sensible Daten zu stehlen.

Der berüchtigtste Fall war der Axie Infinity Ronin Bridge Hack im Jahr 2021, bei dem ein gefälschtes Jobangebot einen Mitarbeiter von Sky Mavis kompromittierte und Lazarus ermöglichte, $625 Millionen in ETH und USDC zu stehlen. Ein weiterer bemerkenswerter Fall war der Horizon Bridge Hack 2022, bei dem ähnliche Taktiken zu einem Diebstahl von $100 Millionen aus den Systemen von Harmony führten.

Lazarus’ Operationen haben seit 2017 über $3 Milliarden in Kryptowährung gestohlen, so Schätzungen der UN und Chainalysis, wobei jobbasierte Angriffe einen erheblichen Teil ausmachten.