Die Lazarus-Gruppe: Einblick in die Cyberangriffe der nordkoreanischen Hacker
Die Bedrohung durch die Lazarus-Gruppe
Die Lazarus-Gruppe ist eine hochrangige Hackergruppe, die mit der nordkoreanischen Regierung in Verbindung steht und eine lange Geschichte in der Zielverwendung von Unternehmen und Einzelpersonen im Kryptowährungsbereich hat. Sie wurde mit mehreren Sicherheitsverletzungen in Verbindung gebracht, darunter Vorfälle bei Phemex, WazirX, Bybit und Stake.
Sicherheitsmaßnahmen und Alarmierung
Unser Sicherheitsteam reagiert regelmäßig auf Angriffe, viele davon nutzen Techniken oder Infrastrukturen, die von anderen Forschern mit der Lazarus-Gruppe verbunden wurden. Ein gemeinsames Muster in ihren größeren Operationen ist der Einsatz relativ unsophistizierter Methoden, die oft mit Phishing beginnen, um einen Zugang zu den Systemen ihrer Ziele zu erlangen.
Beispiel: Der Bybit-Vorfall
Im Falle des Bybit-Vorfalls täuschte die Gruppe einen Mitarbeiter von Safe Wallet, um bösartigen Code auf seinem Computer auszuführen und so den ersten Zugang zu erhalten. Nachdem dieser Zugang gewährt wurde, übernahm ein scheinbar besser ausgebildeter "Zweig" der Gruppe und setzte die post-exploitative Phase fort, indem er Zugriff auf das AWS-Konto von Safe erhielt und den Quellcode der Wallet-Oberfläche modifizierte, was zur letztendlichen Entwendung ihrer Kalt-Wallets führte.
Aufgliederung und Subgruppen der Lazarus-Gruppe
In den letzten Jahren scheint sich die Gruppe in mehrere Subgruppen aufgeteilt zu haben, die nicht unbedingt die gleiche technische Fortgeschrittenheit aufweisen. Diese Unterschiede zeigen sich in den vielen dokumentierten Beispielen schlechter Praktiken, die von diesen "Frontline"-Gruppen bei sozialen Ingenieurangriffen ausgehen, im Vergleich zu den ausgefeilteren Techniken, die in einigen bekannten Hacks angewendet wurden.
Soziale Ingenieurtechnik auf LinkedIn
Kürzlich wurde ein Mitarbeiter von BitMEX über LinkedIn für eine potenzielle Zusammenarbeiten im Bereich "NFT-Marktplatz" kontaktiert. Diese Vorgabe war ähnlich genug wie bei anderen Angriffen in dieser Branche, sodass der Mitarbeiter vermutete, es handele sich um einen Versuch, ihn dazu zu bringen, bösartigen Code auf seinem Gerät auszuführen. Er alarmierte das Sicherheitsteam, das Untersuchungen anstellte, um zu verstehen, wie diese Kampagne funktionierte und wie man sich davor schützen kann.
Vorgehen der Angreifer
Die Interaktion ist gut bekannt, wenn man mit den Taktiken der Lazarus-Gruppe vertraut ist. Nach mehreren Nachrichten mit dem Angreifer wurde unser Mitarbeiter zu einem privaten GitHub-Repository eingeladen, das Code für eine Next.js/React-Website enthielt. Ziel war es, dass das Opfer den Code des Projekts, der bösartigen Code enthielt, auf seinem Computer ausführt.
Erkenntnisse zur Code-Analyse
Wir fanden einige sehr verdächtige Code-Abschnitte. Der erste Aufruf der eval-Funktion war kommentiert, was darauf hindeutet, dass dieser Code in einer früheren Kampagne verwendet wurde oder eine ältere Version des bösartigen Codes darstellt. Der nicht kommentierte Aufruf sendete eine HTTP-Anfrage und führte den zurückgegebenen JavaScript-Code aus.
Wir führten diese Anfrage manuell aus und analysierten die zurückgegebene Antwort, die obfuskiert war. Mithilfe von webcrack konnten wir das Skript entobfuskieren und erhielten eine verständlichere Version. Dabei wurde deutlich, dass das Skript aus drei verschiedenen Skripten zusammengesetzt war und mehrere Abschnitte für die verschiedenen Phasen der Malware enthielt.
Fortsetzung der Code-Analyse
Ein weiterer Abschnitt des Skripts enthielt ähnliche Strings, wie man sie von einem Credential Stealer erwarten würde, sowie Referenzen zu Chrome-Erweiterungs-IDs. Diese bestimmten Strings hatten zuvor bei anderen mit der nordkoreanischen Regierung in Verbindung stehenden Malware-Bedrohungen Verwendung gefunden.
Nachdem wir bestätigt hatten, mit wem wir es zu tun hatten, haben wir die Entobfuskierung des Codes fortgesetzt, um IoCs (Indicators of Compromise) zu extrahieren, die in unsere internen Tools integriert werden konnten.
Die Entdeckung von Zugangsdaten
Durch die Analyse fanden wir eine Supabase-Datenbank, die Daten über zuvor kompromittierte Computer enthielt. Zu unserer Überraschung wurden 37 Datensätze zurückgegeben, die Informationen über diese Maschinen enthielten. Einige der beobachteten IP-Adressen stammten von VPN-Anbietern.
Einige Logs wurden durch ihre wiederkehrenden Kombinationen von Benutzernamen und Hostnamen auffällig, was darauf hindeutet, dass sie möglicherweise von Entwicklern stammten. Die IP-Adressen hatte überwiegend VPN-Herkünfte, einige Einträge wiesen jedoch auf reale, feste IP-Adressen in China hin.
Fazit zur Lazarus-Gruppe
Die Untersuchung dieser Kampagne zeigt einen klaren Kontrast zwischen den einfachen Phishing-Strategien und den fortgeschrittenen Techniken der Folgeausbeutung der Lazarus-Gruppe. Die unbeabsichtigte Offenlegung der Supabase-Datenbank offenbarte nicht nur ihre Nachverfolgungsmethoden, sondern auch signifikante Mängel in der Betriebssicherheit, wie die Enthüllung chinesischer IP-Adressen, was interessante Einblicke in die Arbeitsweise der Gruppe gibt.
Kontaktaufnahme
Wenn Sie mit uns zu diesem Thema in Kontakt treten möchten oder Interesse an einer Mitarbeit in einer Organisation haben, die solche Angriffe untersucht, kontaktieren Sie bitte security-research at bitmex dot com.
Indikatoren für Kompromittierung (IoCs)
| Supabase URL | |
| C2 URL | |
| Bedrohungsakteur: Victor@3-KZH | 107.182.231.193, 107.182.231.196, 120.226.22.28 … |
| Bedrohungsakteur: GHOST72@3-UJS-2 | 108.181.57.127, 195.146.5.31 … |
Bitte berücksichtigen Sie, dass sich die Bedrohungslandschaft ständig verändert und eine kontinuierliche Überwachung dringend erforderlich ist.
