APT
Kaspersky-Experten aus dem Global Research and Analysis Team (GReAT) sprachen auf dem Security Analyst Summit 2025 über die Aktivitäten der APT-Gruppe BlueNoroff, die als eine Untergruppe von Lazarus gilt. Dabei ging es um zwei Kampagnen, die Entwickler und Führungskräfte aus der Kryptobranche zum Ziel haben: GhostCall und GhostHire.
Die BlueNoroff-Hacker interessieren sich in erster Linie für Geld und greifen derzeit bevorzugt Mitarbeiter von Unternehmen an, die mit Blockchains arbeiten. Die Angreifer suchen ihre Ziele sorgfältig aus und bereiten sich gründlich auf jeden Angriff vor. Die Kampagnen GhostCall und GhostHire unterscheiden sich stark voneinander, sind jedoch durch eine gemeinsame Verwaltungsinfrastruktur miteinander verbunden. Deshalb haben unsere Experten sie in einem Bericht zusammengefasst.
Die GhostCall-Kampagne
Die Kampagne GhostCall hat es hauptsächlich auf Führungskräfte verschiedener Unternehmen abgesehen. Die Kriminellen versuchen, die angegriffenen Computer mit Malware zu infizieren, um dann Kryptoguthaben, Anmeldedaten und Geheimnisse von den Opfern zu stehlen. Die Plattform, für die sich die GhostCall-Betreiber am meisten interessieren, ist macOS – wahrscheinlich, weil Apple-Geräte im Management moderner Unternehmen besonders beliebt sind.
GhostCall-Angriffe beginnen mit ziemlich ausgeklügeltem Social Engineering: Die Angreifer geben sich als Investoren aus (manchmal verwenden sie gekaperte Konten echter Unternehmer und sogar Fragmente echter Videoanrufe) und versuchen, ein Treffen zu arrangieren, um eine Partnerschaft oder eine Investition zu besprechen. Das Opfer soll auf eine Website gelockt werden, die Microsoft Teams oder Zoom nachahmt. Dort wartet eine relativ unspektakuläre Falle: Die Website meldet, dass der Client aktualisiert werden muss oder ein technisches Problem vorliegt. Deshalb soll das Opfer eine Datei herunterladen und ausführen, – und in dieser Datei lauert ein Virus.
Details über die verschiedenen Infektionsketten (davon gibt es in dieser Kampagne mindestens sieben, von denen unsere Experten vier noch nicht kannten) sowie Kompromittierungsindikatoren findest du in diesem Blogbeitrag auf der Securelist-Website.
Die GhostHire-Kampagne
Die GhostHire-Kampagne hat Blockchain-Entwickler im Visier. Das Ziel ist gleich wie bei GhostCall. Auch hier sollen Computer mit Malware infiziert werden. Allerdings unterscheidet sich das Vorgehen. In diesem Fall locken Angreifer die Opfer mit verführerischen Jobangeboten. Während der Verhandlungen erhält der Entwickler die Adresse eines Telegram-Bots. Dort bekommt das Opfer einen Link zu GitHub mit einer Testaufgabe oder kann ein Archiv herunterladen. Damit dem Entwickler keine Zeit zum Nachdenken bleibt, hat die Aufgabe eine ziemlich kurze Deadline. Während des Tests wird der Computer des Opfers mit Malware infiziert.
Die von den Angreifern in der GhostHire-Kampagne verwendeten Tools und ihre Kompromittierungsindikatoren sind auch in unserem Artikel im Securelist-Blog zu finden.
Wie schützt du dich vor GhostCall- und GhostHire-Angriffen?
Obwohl sich GhostCall und GhostHire gegen bestimmte Entwickler und Führungskräfte von Unternehmen richten, interessieren sich die Angreifer in erster Linie für die Infrastruktur des Unternehmens. Deshalb müssen sich die IT-Sicherheitsspezialisten des jeweiligen Unternehmens um den Schutz vor diesen Angriffen kümmern. Unsere Empfehlungen:
Schärfe regelmäßig das Bewusstsein aller Unternehmensmitarbeiter für die Tricks moderner Angreifer. Bei der Schulung sollte die Besonderheiten bei der Arbeit bestimmter Spezialisten berücksichtigt werden. Dies gilt auch für Entwickler und Manager. Solche Schulungen können über eine spezielle Online-Plattform organisiert werden, z. B. Kaspersky Automated Security Awareness Platform.
Verwende moderne Sicherheitslösungen auf allen Unternehmensgeräten, über die Mitarbeiter „mit der Außenwelt“ kommunizieren.
Tipps