Achtung: Zustandsbasierte Hacker zielen auf Cryptocurrency Mining mit AppleJeus-Malware ab

Es gibt Neuigkeiten zur Cybersicherheit, dass einige böswillige und gefälschte Krypto-Handelsanwendungen verwendet werden, um Kryptowährung von Einzelpersonen und Unternehmen zu stehlen.

Diese Kryptowährungs-Laufflächenanwendungen wurden von einem von der DVRK gesponserten Bedrohungsakteur namens Lazarus Group entwickelt, der von den USA als HIDDEN COBRA verfolgt wird. Der Angreifer verwendete AppleJeus-Malware, um diese Anwendungen auf Zielsysteme zu übertragen.

Das FBI, das CISA und das US-Finanzministerium haben am Mittwoch ein Gutachten veröffentlicht, wonach nordkoreanische staatliche Hacker dafür verantwortlich sind.

„Diese Cyber-Akteure haben allein im vergangenen Jahr in über 30 Ländern Organisationen für den Diebstahl von Kryptowährungen ins Visier genommen“, heißt es in dem Gutachten.

„Es ist wahrscheinlich, dass diese Akteure modifizierte Kryptowährungshandelsanwendungen als Mittel zur Umgehung internationaler Sanktionen gegen Nordkorea betrachten. Die Anwendungen ermöglichen ihnen den Zugang zu Unternehmen, die Kryptowährungstransaktionen durchführen und Kryptowährung von Opferkonten stehlen.“

Die US-Behörden haben sieben Malware-Analyseberichte veröffentlicht, in denen die Indikatoren des Kompromisses aufgeführt sind und die über die in der Kampagne zum Diebstahl von Kryptowährungen verwendeten bösartigen Apps der nordkoreanischen APT informiert sind.

Bei allen sieben Malware-Versionen handelt es sich um die 2018 erkannten Versionen der AppleJeus-Malware. Sie wurden als scheinbar harmlose Apps über von Hackern kontrollierte Websites bereitgestellt, die einige legitime Websites für den Handel mit Crpytocurrency imitieren.

Laut CISA „verwendeten HIDDEN COBRA-Akteure zunächst Websites, auf denen anscheinend legitime Handelsplattformen für Kryptowährungen gehostet wurden, um Opfer mit AppleJeus zu infizieren. Diese Akteure verwenden jetzt jedoch auch andere Erstinfektionsvektoren wie Phishing, soziale Netzwerke und Social-Engineering-Techniken , um Benutzer zum Herunterladen der Malware zu bewegen. „

Die sieben AppleJeus-Malware-Versionen sind:

  • MAR-10322463-1.v1: AppleJeus – Celas Trade Pro
  • MAR-10322463-2.v1: AppleJeus – JMT Trading
  • MAR-10322463-3.v1: AppleJeus – Union Crypto
  • MAR-10322463-4.v1: AppleJeus – Kupay Wallet
  • MAR-10322463-5.v1: AppleJeus – CoinGoTrade
  • MAR-10322463-6.v1: AppleJeus – Dorusio
  • MAR-10322463-7.v1: AppleJeus – Ants2Whale

Matt Hartman, der stellvertretende stellvertretende Direktor für Cybersicherheit bei CISA, sagte: „Diese Empfehlung markiert einen weiteren Schritt der US-Regierung, um dem laufenden und kriminellen nordkoreanischen globalen Kryptowährungsdiebstahlprogramm entgegenzuwirken, das auf Finanzen, Energie und andere Sektoren abzielt. Das FBI, Treasury und CISA bewerten weiterhin die sich entwickelnde Cyber-Bedrohung durch Nordkorea, Cyberkriminelle und andere nationalstaatliche Akteure und verpflichten sich, Organisationen rechtzeitig Informationen und Abschwächungen zur Bekämpfung dieser Bedrohungen zur Verfügung zu stellen. „

In letzter Zeit wurden drei Nordkoreaner vom US-Justizministerium beschuldigt, 1,4 Milliarden Dollar Geld und Kryptowährung für Angriffe auf Banken, die Unterhaltungsindustrie, Kryptowährungsunternehmen und andere Organisationen gestohlen zu haben. Es wird angenommen, dass diese Mitglieder der Einheiten des Reconnaissance General Bureau (RGB) sind, eines nordkoreanischen militärischen Geheimdienstes.

Das DOJ sagte: „Diese nordkoreanischen militärischen Hacking-Einheiten sind in der Cybersecurity-Community unter mehreren Namen bekannt, darunter Lazarus Group und Advanced Persistent Threat 38 (APT38).“