- BlueNoroff ist die Bezeichnung einer Gruppe von Cyber-Kriminellen, die angeblich mit der Regierung Nordkoreas verbunden ist.
- Sicherheitsexperten haben eine Malware namens Mach-O entdeckt, der mit einer betrügerischen Domain kommuniziert.
- Die Malware tarnt sich als Personalvermittler oder Investor, um Zugang zu ihren Zielen zu erhalten.
Sicherheitsforscher haben eine neue Malware entdeckt, die vermutlich mit der Hacker-Gruppe BlueNoroff in Verbindung steht, berichtet das Infosecurity Magazine. Hinter dem Einsatz der Malware scheint finanzielle Motivation zu stehen.
Es handelt sich dabei um so genannten APT-Angriffe (Advanced Persistent Threat), die hauptsächlich auf Banken, Risikokapitalgesellschaften und Finanzplattformen abzielen – unter anderem auf Kryptobörsen.
Warum ist BlueNoroff gefährlich?
BlueNoroff ist eine Gruppe von Cyber-Kriminellen, die in Verbindung mit Nordkorea gebracht werden. Es ist eine von mehreren Hacker-Gruppen, von denen angenommen wird, dass sie direkt mit der Regierung Nordkoreas verbunden sind und für verschiedene Zwecke, einschließlich finanzieller Gewinne und Spionage, Cyber-Angriffe durchführen.
Sicherheitsforscher und Experten für Cybersicherheit haben die Aktivitäten von BlueNoroff identifiziert und verfolgt. Die Gruppe wird mit verschiedenen hochkarätigen Cyber-Vorfällen in Verbindung gebracht. Sie wird als Teil der umfassenderen nordkoreanischen Cyber-Bedrohungslandschaft angesehen, zu der auch andere Gruppen wie Lazarus gehören.
Legitime Kryptobörse operiert unter einer ähnlichen Domain
Das Infosecurity Magazine zitiert ein Dokument von Branchenexperten der Jamf Threat Labs, die die Entdeckung während einer routinemäßigen Sicherheitsüberprüfung gemacht haben. Jamf fand einen so genannten universellen Binärcode mit der Bezeichnung Mach-O, der mit einer zuvor identifizierten bösartigen Domain kommuniziert hat.
Der eigenständige Binärcode “ProcessRequest” erregte Aufmerksamkeit aufgrund dieser Kommunikation. Eine legitime Kryptowährungsbörse arbeitet unter einer ähnlichen Domain, was noch mehr Anlass zur Sorge gibt.
Malware kann Computer aus der Ferne steuern
Laut dem von Infosecurity zitierten Jamf-Forscher Ferdous Saljooki ähnelt der Vorgang dem Rustbucket-Kampagne von BlueNoroff, bei dem sich die Hacker-Gruppe als Personalvermittler oder Investor tarnt, um Menschen zu betrügen.
Cyber-Kriminelle haben die bösartige Domain im Mai 2023 registriert. Nach einer Sicherheitsanalyse wurde ihr Command-and-Control (C2)-Server offline geschaltet. Die Malware fungiert als einfache Remote-Shell und führt entfernte Befehle aus, die vom Server gesendet werden. Nachdem ein System kompromittiert wird, beginnen die Kriminellen damit, Befehle manuell auszuführen.
Die Fähigkeit dazu ist besorgniserregend, da sie dem Angreifer ermöglicht, die gehackten Systeme aus der Ferne zu steuern. Laut Saljooki war die Malware ein spätes Stadium eines mehrstufigen Malware-Sets, das durch Social Engineering erstellt wurde.
