Nordkoreanische Bedrohungsakteure verstecken Malware in Blockchains.
Die Google Threat Intelligence Group (GTIG) hat neue Forschungsergebnisse veröffentlicht, die aufzeigen, wie die nordkoreanische Bedrohungsakteure UNC5342 eine neuartige Angriffstechnik namens „EtherHiding“ nutzt, um Malware zu verbreiten und letztlich Kryptowährungen sowie sensible Daten zu stehlen.
- Was neu ist: Diese Untersuchung markiert den ersten bekannten Fall, in dem GTIG den Einsatz der EtherHiding-Technik durch einen staatlich unterstützten Akteur beobachtet hat. Dabei verwenden Bedrohungsakteure öffentliche, dezentrale Blockchains, um die Steuerbefehle ihrer Malware zu verschleiern. GTIG stellte fest, dass UNC5342 die Methode in einer Social-Engineering-Kampagne einsetzt (von Palo Alto Networks als „Contagious Interview“ bezeichnet), bei der Entwickler dazu verleitet werden, infizierte Software zu installieren.
- So funktioniert die Kampagne: Die aktuelle Kampagne von UNC5342 nutzt einen mehrstufigen Infektionsprozess, um die Systeme der Opfer zu kompromittieren. Betroffen sind sowohl Windows-, macOS- als auch Linux-Systeme. Da der Schadcode in einer unveränderlichen Blockchain gespeichert ist und über „Read-only“-Abfragen abgerufen wird, behalten die Angreifer kontinuierliche, anonyme Kontrolle über ihre Operationen und können die Nutzlast jederzeit flexibel aktualisieren.
- Warum das relevant ist: Der Einsatz der EtherHiding-Technik durch UNC5342 bietet eine äußerst widerstandsfähige Methode, um Angriffe fortzusetzen und Sicherheitsmaßnahmen zu umgehen. Sie erschwert es erheblich, bösartige Aktivitäten zu blockieren oder die Infrastruktur der Angreifer stillzulegen.
Robert Wallace, Consulting Leader bei Mandiant – Google Cloud und Mitautor der Untersuchung, erklärt die Tragweite: „Diese Entwicklung signalisiert eine neue Eskalationsstufe in der Bedrohungslandschaft. Staatlich unterstützte Bedrohungsakteure setzen nun auf Techniken, um Malware zu verbreiten, die gegen Abschaltungen durch Strafverfolgungsbehörden resistent ist und sich leicht für neue Kampagnen anpassen lässt.“
Der vollständige Forschungsbericht ist hier verfügbar.
