Hacker, von denen angenommen wird, dass sie mit der nordkoreanischen Cyberkriminalitätsgruppe Lazarus in Verbindung stehen, haben einen weiteren digitalen Überfall versucht, indem sie es auf die Kryptowährungsfirma Bridge Finance abgesehen haben.
Wie berichtet von Bleeping ComputerdeBridge fungiert als „Liquiditätsübertragungsprotokoll, das die dezentrale Übertragung von Daten und Vermögenswerten“ zwischen mehreren Blockchain-Plattformen ermöglicht.
Allein diese Tatsache war für Lazarus Grund genug, die Firma zu seinem endgültigen Ziel zu machen. Der Verstoß wurde versucht, indem eine Phishing-E-Mail an Mitarbeiter gesendet wurde. Wenn es geöffnet wird, würde es das System mit Malware infizieren und es ihm ermöglichen, anschließend sensible Informationen von Windows-basierten Geräten im Netzwerk zu erhalten.
Es würde auch den Grundstein dafür legen, dass eine weitere Runde bösartigen Codes in einem fortgeschrittenen Stadium des Cyberangriffs aktiviert wird.
Mitarbeiter von deBridge Finance erhielten letzte Woche eine E-Mail von den Hackern, die sich als Mitbegründer des Unternehmens, Alex Smirnov, ausgaben. Die E-Mail enthielt über eine HTML-Datei falsche Angaben zu „neuen Gehaltsanpassungen“.
Diese Datei war als PDF getarnt, zusammen mit einer Windows Shortcut-Datei (.LNK), die versuchte, Opfer anzulocken, indem sie sich als Passwort-Textdatei ausgab.
Sobald die gefälschte PDF-Datei geöffnet wird, wird ein Cloud-Speicherort gestartet, der den Benutzer auffordert, in der gefälschten Textdatei nach einem Passwort zu suchen. Von dort meldet sich die LNK-Datei mit einem Befehl an der Eingabeaufforderung an, der eine entfernt gespeicherte Nutzlast abruft und lädt.
Da die Hacker nun mit ihrer Malware in das System eindringen, könnten sie relevante Informationen über das Zielsystem wie Benutzername, Betriebssystem, CPU, Netzwerkadapter und laufende Prozesse erhalten.
Obwohl die Mehrheit der Mitarbeiter, die die E-Mail gesehen haben, diese als verdächtig gemeldet haben, war sich eine Person der irreführenden Natur des Inhalts nicht bewusst. Nachdem dieser Mitarbeiter das gefälschte Dokument heruntergeladen und geöffnet hatte, sagte Smirnov, er könne den Angriff selbst untersuchen.
Es wird angenommen, dass nordkoreanische Hacker der Lazarus-Gruppe hinter diesem speziellen Vorfall stecken, da bei einem früheren Angriff Ähnlichkeiten bei Dateinamen und Infrastruktur entdeckt wurden.
Die Lazarus-Gruppe war in letzter Zeit sicherlich aktiv. Er versuchte kürzlich, Kryptoexperten mit einer ähnlichen E-Mail-Kampagne auszutricksen, indem er sich als Kryptowährungsbörse Coinbase ausgab. An anderer Stelle wurden Hacker Anfang dieses Jahres mit einem Krypto-Überfall in Höhe von 617 Millionen US-Dollar in Verbindung gebracht.
Empfehlungen der Redaktion
