Kaspersky-Experten aus dem Global Research and Analysis Team (GReAT) sprachen auf dem Security Analyst Summit 2025 \u00fcber die Aktivit\u00e4ten der APT-Gruppe BlueNoroff, die als eine Untergruppe von Lazarus gilt. Dabei ging es um zwei Kampagnen, die Entwickler und F\u00fchrungskr\u00e4fte aus der Kryptobranche zum Ziel haben: GhostCall und GhostHire.<\/p>\n
Die BlueNoroff-Hacker interessieren sich in erster Linie f\u00fcr Geld und greifen derzeit bevorzugt Mitarbeiter von Unternehmen an, die mit Blockchains arbeiten. Die Angreifer suchen ihre Ziele sorgf\u00e4ltig aus und bereiten sich gr\u00fcndlich auf jeden Angriff vor. Die Kampagnen GhostCall und GhostHire unterscheiden sich stark voneinander, sind jedoch durch eine gemeinsame Verwaltungsinfrastruktur miteinander verbunden. Deshalb haben unsere Experten sie in einem Bericht zusammengefasst.<\/p>\n
Die Kampagne GhostCall hat es haupts\u00e4chlich auf F\u00fchrungskr\u00e4fte verschiedener Unternehmen abgesehen. Die Kriminellen versuchen, die angegriffenen Computer mit Malware zu infizieren, um dann Kryptoguthaben, Anmeldedaten und Geheimnisse von den Opfern zu stehlen. Die Plattform, f\u00fcr die sich die GhostCall-Betreiber am meisten interessieren, ist macOS\u00a0\u2013 wahrscheinlich, weil Apple-Ger\u00e4te im Management moderner Unternehmen besonders beliebt sind.<\/p>\n
GhostCall-Angriffe beginnen mit ziemlich ausgekl\u00fcgeltem Social Engineering: Die Angreifer geben sich als Investoren aus (manchmal verwenden sie gekaperte Konten echter Unternehmer und sogar Fragmente echter Videoanrufe) und versuchen, ein Treffen zu arrangieren, um eine Partnerschaft oder eine Investition zu besprechen. Das Opfer soll auf eine Website gelockt werden, die Microsoft Teams oder Zoom nachahmt. Dort wartet eine relativ unspektakul\u00e4re Falle: Die Website meldet, dass der Client aktualisiert werden muss oder ein technisches Problem vorliegt. Deshalb soll das Opfer eine Datei herunterladen und ausf\u00fchren,\u00a0\u2013 und in dieser Datei lauert ein Virus.<\/p>\n
Details \u00fcber die verschiedenen Infektionsketten (davon gibt es in dieser Kampagne mindestens sieben, von denen unsere Experten vier noch nicht kannten) sowie Kompromittierungsindikatoren findest du in diesem Blogbeitrag auf der Securelist-Website<\/a>.<\/p>\n Die GhostHire-Kampagne hat Blockchain-Entwickler im Visier. Das Ziel ist gleich wie bei GhostCall. Auch hier sollen Computer mit Malware infiziert werden. Allerdings unterscheidet sich das Vorgehen. In diesem Fall locken Angreifer die Opfer mit verf\u00fchrerischen Jobangeboten. W\u00e4hrend der Verhandlungen erh\u00e4lt der Entwickler die Adresse eines Telegram-Bots. Dort bekommt das Opfer einen Link zu GitHub mit einer Testaufgabe oder kann ein Archiv herunterladen. Damit dem Entwickler keine Zeit zum Nachdenken bleibt, hat die Aufgabe eine ziemlich kurze Deadline. W\u00e4hrend des Tests wird der Computer des Opfers mit Malware infiziert.<\/p>\n Die von den Angreifern in der GhostHire-Kampagne verwendeten Tools und ihre Kompromittierungsindikatoren sind auch in unserem Artikel im Securelist<\/a>-Blog zu finden.<\/p>\n Obwohl sich GhostCall und GhostHire gegen bestimmte Entwickler und F\u00fchrungskr\u00e4fte von Unternehmen richten, interessieren sich die Angreifer in erster Linie f\u00fcr die Infrastruktur des Unternehmens. Deshalb m\u00fcssen sich die IT-Sicherheitsspezialisten des jeweiligen Unternehmens um den Schutz vor diesen Angriffen k\u00fcmmern. Unsere Empfehlungen:<\/p>\n Sch\u00e4rfe regelm\u00e4\u00dfig das Bewusstsein aller Unternehmensmitarbeiter f\u00fcr die Tricks moderner Angreifer. Bei der Schulung sollte die Besonderheiten bei der Arbeit bestimmter Spezialisten ber\u00fccksichtigt werden. Dies gilt auch f\u00fcr Entwickler und Manager. Solche Schulungen k\u00f6nnen \u00fcber eine spezielle Online-Plattform organisiert werden, z. B. Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\nDie GhostHire-Kampagne<\/h2>\n
Wie sch\u00fctzt du dich vor GhostCall- und GhostHire-Angriffen?<\/h2>\n