Die nordkoreanische Lazarus-Gruppe und ihre neue Kampagne
Die nordkoreanische Lazarus-Gruppe nutzt die macOS-Malware „Mach-O Man“ sowie gefälschte Meeting-Einladungen, um Krypto-Manager zu überlisten und neunstellige DeFi-Raubzüge zu finanzieren. Diese staatlich unterstützte Hackergruppe hat eine neue Kampagne gestartet, die gezielt Führungskräfte im Fintech- und Krypto-Bereich ins Visier nimmt, wie die Blockchain-Sicherheitsfirma CertiK berichtet.
Die Operation „Mach-O Man“ und ihre Techniken
Die Operation, die den Namen „Mach-O Man“ trägt, kombiniert Social Engineering mit Terminal-Payloads, um Krypto- und sensible Unternehmensdaten zu stehlen, während sie nahezu keine Spuren auf der Festplatte hinterlässt. CertiK-Forscher berichten, dass die Kampagne auf der ClickFix-Technik basiert, bei der die Opfer dazu verleitet werden, vermeintliche „Reparatur“- oder „Überprüfungs“-Befehle direkt in das macOS-Terminal während gefälschter Support- oder Meeting-Abläufe einzugeben.
In diesem Fall erscheinen die Lockangebote als gefälschte Online-Meeting-Einladungen, die die Opfer dazu bringen, bösartige Reparaturbefehle in Mac-Terminals einzugeben. Das Toolkit wird nach der Nutzung automatisch gelöscht, um forensische Untersuchungen zu erschweren, so die Analyse von CertiK.
Verbreitung und Verbindungen zur Chollima-Einheit
Laut der Bedrohungsintelligenzfirma SOC Prime ist das „Mach-O Man“-Framework mit Lazarus‘ berühmter Chollima-Einheit verbunden und wird über kompromittierte Telegram-Konten sowie gefälschte Meeting-Einladungen verbreitet, die auf wertvolle Krypto- und Finanzorganisationen abzielen. Das Toolkit umfasst mehrere Mach-O-Binärdateien, die dazu dienen, den Host zu profilieren, Persistenz zu gewährleisten und Anmeldeinformationen sowie Browserdaten über Telegram-basierte Kommando- und Kontrollsysteme zu exfiltrieren, wie CoinDesk berichtet.
Ähnliche Kampagnen und deren Auswirkungen
Google Clouds Mandiant beschrieb zuvor ähnliche macOS-Kampagnen, die ClickFix mit KI-unterstützten Video-Deepfakes, gefälschten Zoom-Anrufen und gehackten Messaging-Konten kombinieren, um Ziele dazu zu bringen, obfuskierte Befehle auszuführen.
„Die Kampagne nutzte ein kompromittiertes Telegram-Konto, ein gefälschtes Zoom-Meeting und KI-unterstützte Täuschung, um Opfer dazu zu bringen, Terminalbefehle auszuführen, die zu einer macOS-Infektionskette führten“,
schrieben die Mandiant-Forscher.
Finanzielle Auswirkungen und systemisches Risiko
CertiK-Forscherin Natalie Newson verband die neueste Welle von „Mach-O Man“ mit einem breiteren Vorstoß von Lazarus, der in nur etwas mehr als zwei Wochen mehr als 500 Millionen Dollar von den DeFi-Plattformen Drift und KelpDAO abgezweigt hat. In diesen Vorfällen kombinierte Lazarus angeblich Social Engineering gegen eine Handelsfirma mit einem ausgeklügelten Cross-Chain-Exploit, der es den Angreifern ermöglichte, etwa 116.500 rsETH zu minten und etwa 292 Millionen Dollar an Wert abzuziehen.
LayerZero, das die Brückeninfrastruktur bereitstellt, die von KelpDAO verwendet wird, erklärte, dass die Lazarus-Gruppe aus Nordkorea der „wahrscheinliche Akteur“ hinter dem rsETH-Exploit sei und machte ein Design mit einem einzigen Fehlerpunkt für die Ermöglichung der gefälschten Cross-Chain-Nachricht verantwortlich.
„Lazarus zielt seit Jahren auf das Kryptowährungs-Ökosystem ab und hat 2023 und 2024 etwa 2 Milliarden Dollar an virtuellen Vermögenswerten gestohlen“,
berichtete das Sicherheitsmedium SecurityWeek und verwies auf frühere ClickFix-aktivierte Kampagnen. Da DeFi bereits unter dem leidet, was Forschungsinstitute als den schlimmsten Monat für Hacks in der Geschichte bezeichnen, preisen die Märkte nun effektiv einen weiteren Exploit von über 100 Millionen Dollar in diesem Jahr ein, was unterstreicht, wie staatlich verbundene Angreifer wie Lazarus zu einem systemischen Risiko für Krypto geworden sind.
