Zusammenfassung
Wie infiltrierten nordkoreanische Hacker Cloud-Umgebungen, um Kryptowährungen zu stehlen? Laut dem H2 2025 Cloud Threat Horizons Report von Google Cloud überwacht das Threat Intelligence-Team des Unternehmens die Hackergruppe UNC4899, die mit Nordkorea in Verbindung steht und beschuldigt wird, zwei Organisationen angegriffen zu haben, nachdem sie über soziale Medien Kontakt zu Mitarbeitern aufgenommen hatte.
„Seit mindestens 2020 aktiv, zielt UNC4899 hauptsächlich auf die Kryptowährungs- und Blockchain-Branche ab und hat eine ausgeklügelte Fähigkeit demonstriert, komplexe Lieferkettenkompromisse durchzuführen.“
Der Bericht stellte fest, dass zwischen dem dritten Quartal 2024 und dem ersten Quartal 2025 das Cybersicherheitsunternehmen Mandiant auf zwei separate Vorfälle reagierte, die mit UNC4899 in Verbindung standen, wobei eine Organisation in der Google Cloud-Umgebung und eine andere in der AWS-Umgebung betroffen war. Während die Anfangs- und Endphasen der Eindringlinge gemeinsame Taktiken aufwiesen, variierten die Methoden in den Zwischenphasen, was wahrscheinlich Unterschiede in den Systemarchitekturen der Opfer widerspiegelt.
Der Bericht beschreibt weiter, dass die Hacker in der Anfangsphase dieser Angriffe Kontakt zu den Opfern über soziale Medienplattformen herstellten – eine über Telegram und die andere über LinkedIn – und sich als freiberufliche Softwareentwicklungs-Rekruter ausgaben. Die betroffenen Mitarbeiter wurden dann unwissentlich dazu gebracht, bösartige Docker-Container auf ihren Arbeitsstationen auszuführen. Diese Aktion löste die Bereitstellung von Malware aus, einschließlich Downloader wie GLASSCANNON und sekundären Payloads wie den PLOTTWIST– und MAZEWIRE-Hintertüren, was den Angreifern letztendlich ermöglichte, sich mit ihren Command-and-Control (C2)-Servern zu verbinden.
„In beiden Fällen führte UNC4899 mehrere interne Aufklärungsaktivitäten auf den Hosts und in den verbundenen Umgebungen der Opfer durch, bevor sie die Anmeldedaten erlangten, die sie verwendeten, um in die Cloud-Umgebungen der Opfer zu gelangen.“
Nordkoreanische Hacker haben zunehmend auf gefälschte Stellenangebote gesetzt, um in Unternehmen einzudringen. Im Juli verhängte das US-Finanzministerium Sanktionen gegen Song Kum Hyok, der angeblich ein Schema betrieben hat, das verkleidete nordkoreanische IT-Arbeiter in US-Firmen platzierte, um Einnahmen für die Demokratische Volksrepublik Korea (DVRK) zu generieren. Diese Arbeiter, oft in China oder Russland ansässig, verwendeten falsche Identitäten und Nationalitäten, wobei die Arbeitgeber von der Täuschung nichts wussten.
Die Bedeutung der Dezentralisierung
Während globale Bedrohungen Krypto-Plattformen dazu drängen, die Sicherheit zu erhöhen, ist dies eine eindringliche Erinnerung daran, warum dezentrale, gemeinschaftsgetriebene Ökosysteme wie Shibarium wichtig sind. Im Gegensatz zu traditionellen Setups, die anfällig für zentrale Angriffe sind, ermöglicht die offene Infrastruktur von Shibarium Entwicklern, mit Transparenz, Widerstandsfähigkeit und Vertrauen im Kern zu bauen.
Anstatt sich auf einen einzigen Ausfallpunkt zu verlassen, verteilt Shibarium die Kontrolle über ein Netzwerk von Validierern, Entwicklern und Gemeinschaftsteilnehmern. Diese Dezentralisierung erschwert es nicht nur böswilligen Akteuren, wie staatlich unterstützten Hackergruppen, Fuß zu fassen, sondern ermöglicht auch eine schnellere Erkennung und Reaktion, wenn Schwachstellen auftreten.
Während der Krypto-Bereich mit steigenden Cyber-Risiken konfrontiert ist, betonen Ökosysteme wie Shibarium einen anderen Weg nach vorne, der in Dezentralisierung, Transparenz und einem gemeinsamen Engagement für den Aufbau von Werkzeugen verwurzelt ist, die den Menschen dienen und sie nicht ausbeuten.
Aktuelle Bedrohungen
Nordkoreanische Bedrohungsakteure nutzen NimDoor-Malware, um Apple-Geräte anzugreifen. Nordkoreas Lazarus-Gruppe ist mit einem neuen Krypto-Diebstahl von 3,2 Millionen Dollar verbunden. Nordkoreanische Hacker stehlen Krypto-Milliarden, während sie sich als VCs ausgeben!
