Bedrohungsakteur BlueNoroff leert Konten von Kryptowährungs-Startups

Die Sicherheitsexperten von Kaspersky haben eine Reihe von Angriffen des Advanced Persistent Threat (APT)-Akteurs BlueNoroff auf kleine und mittelständische Unternehmen weltweit aufgedeckt [1]. Die Opfer erlitten dabei große Kryptowährungsverluste. Die Kampagne mit dem Namen ‚SnatchCrypto‘ hat es auf verschiedene Unternehmen abgesehen, die sich mit Kryptowährungen sowie Smart Contracts, DeFi, Blockchain und der FinTech-Branche beschäftigen.

In der jüngsten Kampagne des Bedrohungsakteuers BlueNoroff nutzten die Angreifer auf subtile Weise das Vertrauen von Mitarbeitern in Zielunternehmen aus, indem sie ihnen unter dem Deckmantel eines „Vertrags“ oder einer anderen Geschäftsdatei eine vollwertige Windows-Backdoor mit Überwachungsfunktionen schickten. Um die Krypro-Wallet eines Opfers zu leeren, hat der Akteur umfangreiche und maliziöse Ressourcen entwickelt – darunter eine komplexe Infrastruktur, Exploits und Malware-Implantate.

BlueNoroff und Lazarus

BlueNoroff ist Teil der Lazarus-Gruppe und nutzt deren diversifizierte Struktur und ausgefeilte Angriffstechnologien. Diese APT-Gruppe ist bekannt für Angriffe auf Banken und Server, die mit SWIFT verbunden sind, und beteiligte sich sogar an der Gründung von Scheinfirmen für die Entwicklung von Kryptowährungs-Software [2]. Die getäuschten Kunden installierten anschließend legitim aussehende Apps und erhielten nach einer Weile Updates inklusive Backdoor.

Dieser Zweig der APT-Gruppe ist inzwischen dazu übergegangen, Kryptowährungs-Startups anzugreifen. Da die meisten Kryptowährungs-Unternehmen kleine oder mittelgroße Startups sind, können diese nicht viel Geld in ihr internes Sicherheitssystem investieren. Lazarus hat das erkannt und nutzt dies durch ausgeklügelte Social-Engineering-Methoden aus.

BlueNoroff gibt vor ein Risikokapitalunternehmen zu sein

Um das Vertrauen des Opfers zu gewinnen, gibt BlueNoroff vor, ein Risikokapitalunternehmen zu sein. Die Kaspersky-Forscher entdeckten über 15 Risikokapitalunternehmen, deren Markennamen und Mitarbeiternamen während der SnatchCrypto-Kampagne missbraucht worden sind. Laut den Sicherheitsexperten haben reale Unternehmen nichts mit diesem Angriff oder den E-Mails zu tun. Die Krypto-Sphäre der Start-ups wurde von den Cyberkriminellen aus einem bestimmten Grund ausgewählt: Start-ups erhalten häufig Briefe oder Dateien aus unbekannten Quellen. Aufgrund dessen ist es durchaus möglich, dass eine Risikogesellschaft ihnen einen Vertrag oder andere geschäftsbezogene Dateien schickt. Der APT-Akteur nutzt dies als Köder, um die Opfer dazu zu bringen, den Anhang in der E-Mail zu öffnen – ein makroaktiviertes Dokument.

Wenn solch ein Dokument offline geöffnet wird, stellen diese Datei keine Gefahr dar. Ist ein Computer jedoch zum Zeitpunkt des Öffnens der Datei mit dem Internet verbunden ist, wird ein anderes makroaktiviertes Dokument auf das Gerät des Opfers geladen und Malware installiert.

BlueNoroff verwendet umfassende Angriffsmethodik

Die BlueNoroff-APT-Gruppe verfügt über verschiedene Methoden in ihrem Kompromittierungsarsenal und gestaltet die Infektionskette je nach Situation entsprechend. Neben schädlichen Word-Dokumenten verbreitet der Akteur auch Malware, die als gezippte Windows-Verknüpfungsdateien getarnt ist. Diese sendet die Informationen des Opfers und den Powershell-Agenten zurück, wodurch eine Backdoor erstellt wird. Über diese setzt BlueNoroff weitere schädliche Tools zur Überwachung des Opfers ein: einen Keylogger und ein Screenshot-Tool.

Im Anschluss verfolgen die Angreifer ihre Opfer über Wochen und Monate. Sie sammeln Tastatureingaben und überwachen die täglichen Vorgänge des Nutzers, während sie eine Strategie für einen finanziellen Diebstahl planen. Sobald sie ein prominentes Ziel gefunden haben, das eine beliebte Browsererweiterung zur Verwaltung von Krypto-Wallets verwendet (etwa die Metamask-Erweiterungen), ersetzen sie deren Hauptkomponente durch eine gefälschte Version.

Nach Angaben der Kaspersky-Experten erhalten die Angreifer eine Benachrichtigung, sobald eine große Überweisung entdeckt wird. Wenn der kompromittierte Nutzer versucht, einen Betrag auf ein anderes Konto zu überweisen, fangen sie den Transaktionsprozess ab und fügen ihre eigene Logik ein. Um die eingeleitete Zahlung abzuschließen, klickt der Nutzer dann auf die Schaltfläche „Genehmigen“. In diesem Moment ändern die Cyberkriminellen die Adresse des Empfängers und maximieren den Transaktionsbetrag; damit wird das Konto auf einen Schlag geleert.

„Da Angreifer immer wieder neue Wege digitaler Kompromittierung finden, sollten auch kleine Unternehmen ihre Mitarbeiter in grundlegenden Cybersicherheitspraktiken schulen“ kommentiert Seongsu Park, Senior Security Researcher im Global Research and Analysis Team (GReAT) bei Kaspersky. „Insbesondere, wenn Unternehmen Krypro-Währungen nutzen, gilt es zu beachten, dass diese ein attraktives Ziel für APT-Akteure und Cyberkriminelle sind. Daher ist dieser Bereich besonders schützenswert.“

Kaspersky: So schützen Unternehmen Kryptowährung

• Mitarbeitern sollten grundlegende Schulungen zur Cybersicherheit angeboten werden, da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.
• Unternehmen sollten regelmäßig Cybersecurity-Audits ihrer Netzwerke durchführen, um dadurch Schwachstellen zu beheben.
• Eine Injektion einer Erweiterung ist manuell schwer festzustellen, sofern der Anwender nicht mit der Metamask-Codebasis vertraut ist. Eine Änderung der Chrome-Erweiterung hinterlässt jedoch eine Spur. Der Browser muss in den Entwicklermodus geschaltet werden, und die Metamask-Ergänzung wird aus einem lokalen Verzeichnis anstelle des Online-Stores installiert. Wenn das Plugin aus dem Store stammt, erzwingt Chrome eine digitale Signaturvalidierung für den Code und garantiert dessen Integrität. Wenn Zweifel bestehen, sollte die Metamask-Erweiterung und die Chrome-Einstellungen sofort überprüft werden
• Die Installation von Anti-APT- und EDR-Lösungen hilft dabei, um die Erkennung von Bedrohungen sowie die Untersuchung und zeitnahe Behebung von Vorfällen zu ermöglichen. Unternehmen sollten ihrem SOC-Team Zugang zu den neuesten Bedrohungsdaten [3] zur Verfügung stellen und diese durch professionelle Schulungen weiterbilden. All dies ist beispielsweise im Rahmen der Kaspersky Enterprise Security-Lösungen [4] möglich.
• Neben einem angemessenen Endpunktschutz können spezielle Services bei hochentwickelten Angriffen helfen. Der Service Kaspersky Managed Detection and Response [5] hilft dabei, Angriffe im Frühstadium zu erkennen und zu stoppen, bevor die Angreifer ihre Ziele erreichen.

[1] https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

[2] https://securelist.com/operation-applejeus/87553/

[3] https://www.kaspersky.de/enterprise-security/threat-intelligence  

[4] https://www.kaspersky.de/enterprise-security

[5] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

Nützliche Links:

• Kaspersky-Analyse zu BlueNoroff: https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Managed Detection and Response: https://www.kaspersky.com/enterprise-security/managed-detection-and-response
• Kaspersky Enterprise Security: https://www.kaspersky.de/enterprise-security