Die Lazarus-Gruppe ist mit dem neuen Mach-O-Man-Angriff besonders gefährlich geworden: CertiK
Die staatliche nordkoreanische Lazarus Group führt eine neue Kampagne namens „Mach-O Man“ durch, die routinemäßige Geschäftskommunikation in einen direkten Weg zum Diebstahl von Anmeldeinformationen und Datenverlust verwandelt, warnten Sicherheitsexperten am Mittwoch.
Das Kollektiv, dessen kumulierte Beute seit 2017 auf 6,7 Milliarden US-Dollar geschätzt wird, hat es auf Fintech-, Kryptowährungs- und andere hochrangige Führungskräfte und Firmen abgesehen, sagte Natalie Newson, eine leitende Blockchain-Sicherheitsforscherin bei CertiK, am Mittwoch gegenüber CoinDesk.
Allein in den letzten zwei Wochen haben die nordkoreanischen Hacker in einer scheinbar anhaltenden Kampagne mehr als 500 Millionen US-Dollar aus den Exploits Drift und KelpDAO erbeutet. Die Kryptoindustrie muss anfangen, Lazarus auf die gleiche Weise zu betrachten, wie Banken nationalstaatliche Cyber-Akteure betrachten: „als ständige und gut finanzierte Bedrohung, nicht nur als eine weitere Schlagzeile“, sagte sie.
„Was Lazarus derzeit besonders gefährlich macht, ist ihr Aktivitätsniveau“, sagte Newson. „KelpDAO, Drift und jetzt ein neues macOS-Malware-Kit, alles im selben Monat. Das ist kein zufälliges Hacking; es ist eine staatlich gelenkte Finanzoperation, die in einem für Institutionen typischen Ausmaß und einer Geschwindigkeit abläuft.“
Nordkorea habe den Krypto-Diebstahl zu einer lukrativen nationalen Industrie gemacht, und Mach-O Man sei nur das neueste Produkt dieses Prozesses, sagte sie. Während Lazarus es erstellt hat, nutzen es auch andere Cyberkriminalitätsgruppen.
„Es handelt sich um ein modulares macOS-Malware-Kit, das von der berüchtigten Chollima-Abteilung der Lazarus Group entwickelt wurde. Es verwendet native Mach-O-Binärdateien, die auf Apple-Umgebungen zugeschnitten sind, in denen Krypto und Fintech tätig sind“, sagte sie.
Newson sagte, Mach-O Man verwende eine Liefermethode namens ClickFix. „Es ist wichtig, klar zu sein, denn viele Berichterstattungen vermischen zwei verschiedene Dinge“, bemerkte sie. ClickFix ist eine Social-Engineering-Technik, bei der das Opfer aufgefordert wird, einen Befehl in sein Terminal einzufügen, um ein simuliertes Verbindungsproblem zu beheben.
Laut Mauro Eldritch, einem Sicherheitsexperten und Gründer des Threat-Intelligence-Unternehmens BCA Ltd., funktioniert es so, dass Lazarus den Führungskräften über Telegram eine „dringende“ Besprechungseinladung für einen Zoom-, Microsoft Teams- oder Google Meet-Anruf sendet.
Der Link führt zu einer gefälschten, aber überzeugenden Website, die sie anweist, einen einfachen Befehl zu kopieren und in das Terminal ihres Mac einzufügen, um „ein Verbindungsproblem zu beheben“. Dadurch verschaffen sich die Opfer sofortigen Zugang zu Unternehmenssystemen, SaaS-Plattformen und finanziellen Ressourcen. Bis sie herausfinden, dass sie ausgebeutet wurden, ist es meist zu spät.
Es gibt mehrere Variationen dieses Angriffs, sagte der Sicherheitsbedrohungsforscher Vladimir S. auf
„Diese gefälschten ‚Verifizierungsschritte‘ führen Opfer durch Tastaturkürzel, die einen schädlichen Befehl ausführen“, sagte Newson von Certik. „Die Seite sieht echt aus, die Anweisungen scheinen normal zu sein und das Opfer leitet die Aktion selbst ein – weshalb herkömmliche Sicherheitskontrollen dies oft übersehen.“
Die meisten Opfer dieses Hacks werden die Verletzung ihrer Sicherheit erst bemerken, wenn der Schaden bereits eingetreten ist. Zu diesem Zeitpunkt ist auch die Malware bereits gelöscht.
„Sie wissen es wahrscheinlich noch nicht“, sagte sie. „Wenn ja, können sie wahrscheinlich nicht erkennen, welche Variante sie betroffen hat.“