Thought Leadership
Das Cybersicherheitsunternehmen SecurityScorecard hat eine neue Angriffskampagne aufgedeckt, bei der nordkoreanische Hacker gezielt Entwickler aus der Freelance-Szene angreifen. Die als „Operation 99“ bezeichnete Kampagne wird der Lazarus-Gruppe zugeschrieben.
Die Angreifer gehen dabei hochprofessionell vor: Sie erstellen gefälschte Profile auf LinkedIn und anderen Plattformen, um Entwickler mit lukrativen Jobangeboten im Web3- und Kryptowährungsbereich zu ködern. Die eigentliche Infektion erfolgt über ein manipuliertes GitLab-Repository, das die Entwickler im Rahmen von vorgeblichen Projekttests klonen sollen.
Der eingeschleuste Schadcode verbindet sich mit Command-and-Control-Servern, die von einer Tarnfirma namens „Stark Industries LLC“ betrieben werden. Von dort werden stark verschleierte Python-Scripts nachgeladen, die für jeden Angriffsfall individuell angepasst sind.
Das mehrstufige Malware-System umfasst die Downloader Main99 und Main5346, die weitere Schadprogramme wie Payload99/73, Brow99/73 und MCLIP nachinstallieren. Diese dienen der Überwachung der Nutzeraktivitäten und dem Diebstahl sensibler Daten.
Durch eine 65-schichtige Verschlüsselung bleibt die Schadsoftware zudem lange unentdeckt. Die einzelnen Komponenten haben unterschiedliche Funktionen:
- Payload99/73 sammelt Systemdaten und kann beliebigen Code ausführen
- Brow99/73 stiehlt Anmeldedaten aus Browsern
- MCLIP überwacht Tastatureingaben und Zwischenablage in Echtzeit
Nach Einschätzung von SecurityScorecard zielt die Kampagne darauf ab, die Software-Lieferkette zu kompromittieren. Die erbeuteten Daten und Krypto-Wallet-Keys dienen der Finanzierung des nordkoreanischen Regimes.
