Kaspersky-Experten haben eine Reihe von Angriffen des Advanced Persistent Threat Actor (APT) BlueNoroff auf kleine und mittelständische Unternehmen auf der ganzen Welt aufgedeckt, die zu großen Kryptowährungsverlusten für die Opfer führten.
Die Kampagne mit dem Namen SnatchCrypto richtet sich an verschiedene Unternehmen, die sich aufgrund ihrer Arbeit mit Kryptowährungen und Smart Contracts, DeFi, Blockchain und der FinTech-Branche befassen.
In der jüngsten Kampagne von BlueNoroff missbrauchten Angreifer auf subtile Weise das Vertrauen der Mitarbeiter der betroffenen Unternehmen, indem sie ihnen unter dem Deckmantel eines Vertrags oder einer anderen kommerziellen Datei eine Windows-Hintertür mit Überwachungsfunktionen zusandten. Um schließlich die Krypto-Brieftasche des Opfers zu leeren, hat der Akteur erhebliche und gefährliche Ressourcen entwickelt: komplexe Infrastruktur, Exploits, Malware-Implantate.
BlueNoroff ist Teil der großen Lazarus-Gruppe und nutzt deren vielfältige Struktur und ausgefeilte Angriffstechnologien. Die Lazarus APT-Gruppe ist bekannt für ihre Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und hat sich sogar an der Gründung gefälschter Unternehmen für die Entwicklung von Kryptowährungssoftware beteiligt. Die ausgetricksten Kunden installierten dann legitim aussehende Apps und erhielten nach einer Weile gefälschte Updates.
Laut Kaspersky ist dieser Lazarus-Zweig nun dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da es sich bei den meisten Kryptowährungsunternehmen um kleine oder mittelständische Startups handelt, können sie nicht viel Geld in ihr internes Sicherheitssystem investieren. Der Schauspieler versteht diesen Punkt und nutzt ihn aus, indem er ausgeklügelte Social-Engineering-Schemata einsetzt, sagt er.
Um das Vertrauen der Opfer zu gewinnen, gibt BlueNoroff vor, eine bestehende Risikokapitalgesellschaft zu sein. Kaspersky-Forscher entdeckten mehr als 15 riskante Unternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht wurden. Kaspersky-Experten glauben auch, dass echte Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun haben. Die kryptografische Sphäre von Startups wurde von Cyberkriminellen aus einem bestimmten Grund gewählt: Startups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Beispielsweise kann ein Venture-Unternehmen ihnen einen Vertrag oder andere geschäftsbezogene Dateien zusenden. Der APT-Akteur verwendet es als Köder, um Opfer dazu zu bringen, den Anhang in einer E-Mail mit einem makrofähigen Dokument zu öffnen.
Ein aufmerksamer Benutzer kann bemerken, dass etwas faul passiert, da MS Word ein Standard-Popup-Fenster zum Laden anzeigt.
Wenn das Dokument offline geöffnet würde, würde die Datei nichts Gefährliches darstellen – höchstwahrscheinlich würde es wie eine Kopie eines Vertrages oder eines anderen harmlosen Dokuments aussehen. Wenn der Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein weiteres makrofähiges Dokument vom Gerät des Opfers abgerufen, das Malware einsetzt.
Diese APT-Gruppe hat verschiedene Methoden in ihrem Infektionsarsenal und stellt die Infektionskette situationsabhängig zusammen. Neben bewaffneten Word-Dokumenten verbreitet der Akteur auch Malware, die als komprimierte Windows-Verknüpfungsdateien getarnt ist. Es sendet die allgemeinen Informationen des Opfers und den Powershell-Agenten, der dann eine vollständige Hintertür erstellt. Dadurch setzt BlueNoroff andere bösartige Tools ein, um das Opfer zu überwachen: Keylogger und Screenshot Taker.
Laut Kaspersky verfolgen Angreifer die Opfer dann wochen- und monatelang: Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Benutzers, während sie eine Finanzdiebstahlstrategie planen. Nachdem sie ein wichtiges Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Geldbörsen verwendet (z. B. Metamask-Erweiterung), ersetzen sie die Hauptkomponente der Erweiterung durch eine gefälschte Version.
Forscher sagen, dass Angreifer eine Benachrichtigung erhalten, wenn sie große Übertragungen entdecken. Wenn der kompromittierte Benutzer versucht, Geld auf ein anderes Konto zu überweisen, fängt er den Transaktionsprozess ab und fügt seine eigene Logik ein. Um die initiierte Zahlung abzuschließen, klickt der Benutzer dann auf die Schaltfläche “Genehmigen”. Im Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag, indem sie das Konto im Wesentlichen mit einem einzigen Antippen leeren.
Die Gruppe ist derzeit aktiv und greift Nutzer unabhängig von ihrem Herkunftsland an
„Während Angreifer ständig viele neue Möglichkeiten der Täuschung und des Missbrauchs entwickeln, sollten selbst kleine Unternehmen ihre Mitarbeiter über grundlegende Cybersicherheitspraktiken aufklären“, sagt Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky.
“Dies ist besonders kritisch, wenn das Unternehmen mit Krypto-Wallets arbeitet: Es ist nichts falsch daran, Kryptowährungsdienste und -erweiterungen zu verwenden, aber beachten Sie, dass es auch ein attraktives Ziel für APT und Cyberkriminelle ist. Daher muss dieser Sektor gut geschützt werden.”
Zum Schutz der Organisation schlägt Kaspersky Folgendes vor:
- Bieten Sie Ihren Mitarbeitern eine grundlegende Cybersicherheits-Hygieneschulung, da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen;
- Führen Sie eine Cybersicherheitsprüfung Ihrer Netzwerke durch und beheben Sie alle Schwachstellen, die am Perimeter oder innerhalb des Netzwerks entdeckt werden.
- Die Erweiterungsinjektion ist manuell schwer zu finden, es sei denn, Sie sind mit der Metamask-Codebasis sehr vertraut. Eine Modifikation der Chrome-Erweiterung hinterlässt jedoch Spuren. Der Browser muss in den Entwicklermodus geschaltet werden und die Metamask-Erweiterung wird aus einem lokalen Verzeichnis statt aus dem Online-Shop installiert. Wenn das Plug-in aus dem Store stammt, erzwingt Chrome die Validierung der digitalen Signatur für den Code und stellt die Codeintegrität sicher. Wenn Sie also irgendwelche Zweifel haben, überprüfen Sie jetzt Ihre Metamask-Erweiterung und die Chrome-Einstellungen.
- Installieren Sie Anti-APT- und EDR-Lösungen, die die Erkennung und Erkennung von Bedrohungen, die Untersuchung und die schnelle Lösung von Vorfällen ermöglichen. Bieten Sie Ihrem SOC-Team Zugriff auf die neuesten Bedrohungsinformationen und verbessern Sie diese regelmäßig durch professionelle Schulungen. All dies ist als Teil von Kaspersky Expert Security verfügbar.
- Neben einem angemessenen Endgeräteschutz können dedizierte Dienste dazu beitragen, groß angelegte Angriffe abzuwehren. Der Dienst Kaspersky Managed Detection and Response kann dabei helfen, Angriffe frühzeitig zu erkennen und zu stoppen, bevor Angreifer ihr Ziel erreichen.