In einem neuen Forschungsbericht zeigt das Unit 42-Team von Palo Alto Networks auf, wie die nordkoreanische APT-Gruppe „Sparkling Pisces“ (auch bekannt als Kimsuky) ihre Cyber-Spionage-Aktivitäten weiter ausbaut.
Die Gruppe, die für Angriffe auf Regierungen, Medien und andere Schlüsselbranchen bekannt ist, setzt dabei auf neue, bisher undokumentierte Malware-Varianten, um Informationen zu stehlen und sich Zugang zu vertraulichen Systemen zu verschaffen.
Die wichtigsten Erkenntnisse im Überblick:
- Unit 42 hat zwei bisher unbekannte Malware-Varianten identifiziert: KLogEXE, eine Keylogger-Malware, und FPSpy, eine modifizierte Backdoor-Variante. Beide Varianten weisen deutliche Code-Ähnlichkeiten auf, was auf eine gemeinsame Entwicklungsbasis hinweist.
- Die Untersuchung bringt die neue Malware mit früheren Kimsuky-Kampagnen in Verbindung, die insbesondere auf südkoreanische Nutzer abzielten, und bietet Einblicke in deren Infrastruktur und Command-and-Control-Systeme.
- Die Forschungsergebnisse zeigen die kontinuierliche Weiterentwicklung des Tool-Sets sowie der Infrastruktur der Gruppe, um Angriffe zu verschleiern.
Forschungsbericht: Nordkoreanische Bedrohungsakteure geben sich als Arbeitgeber aus
Das Unit 42-Team von Palo Alto Networks hat neue Erkenntnisse zu einer nordkoreanischen Kampagne veröffentlicht, die sich gegen Arbeitssuchende im Technologiesektor richtet. Die Kampagne mit dem Namen CL-STA-240 Contagious Interview (auf Deutsch etwa „ansteckendes Vorstellungsgespräch“) untersucht, wie sich nordkoreanische Bedrohungsakteure auf Plattformen wie LinkedIn als Recruiter ausgeben und durch Malware an sensible Daten gelangen. Bereits im November 2023 haben die Forscher von Unit 42 zwei neue Malware-Familien gefunden, die unter Windows, Linux und macOS ausgeführt werden können, um Anmeldedaten, in Browsern gespeicherte Kreditkarteninformationen und Kryptowährungs-Wallets zu stehlen. Seitdem haben die Experten zusätzliche Online-Aktivitäten und Code-Updates verfolgt.
Die wichtigsten Erkenntnisse im Überblick:
- Die Malware-Variante BeaverTail zielt sowohl auf macOS als auch auf Windows ab und kann Daten und Kryptowährungen aus 13 verschiedenen Wallets stehlen.
- Die Angreifer geben sich als Recruiter aus und führen Vorstellungsgespräche mit Softwareentwicklern. In diesen versuchen sie, die Bewerber zu überzeugen, Malware zu installieren, die als seriöse Software wie MiroTalk und FreeConference getarnt ist.
- Die Malware-Variante InvisibleFerret kann nun zusätzliche Fernsteuerungssoftware herunterladen sowie Anmeldedaten und Kreditkarteninformationen stehlen.
- Die Bedrohungsakteure aus Nordkorea verfolgen vermutlich ein finanzielles Ziel, da sich die Malware auf den Diebstahl von Kryptowährungen aus einer wachsenden Zahl von Wallets konzentriert.
(pd/Palo Alto Networks)