Malware-Angriffe

Nordkorea setzt auf Blockchain: Staatshacker nutzen “EtherHiding”

Nordkorea
LinkedInRedditWhatsAppPocket

Die Google Threat Intelligence Group hat eine neuartige Angriffsmethode nordkoreanischer Hacker dokumentiert. Erstmals nutzt eine staatlich geförderte Gruppe dezentrale Blockchains, um Malware-Befehle zu verschleiern – eine Technik, die sich kaum unterbinden lässt.

Die nordkoreanische Bedrohungsgruppe UNC5342 hat eine Angriffstechnik namens “EtherHiding” in ihr Arsenal aufgenommen, wie die Google Threat Intelligence Group (GTIG) in einer aktuellen Analyse berichtet. Dabei missbrauchen die Angreifer öffentliche, dezentrale Blockchains, um Steuerbefehle für ihre Schadsoftware zu verbergen. Es ist der erste dokumentierte Fall, in dem ein staatlich unterstützter Akteur diese Methode einsetzt.

Anzeige

Social Engineering trifft auf Blockchain-Technologie

Die als “Contagious Interview” bekannte Kampagne, die bereits von Palo Alto Networks beschrieben wurde, richtet sich gezielt gegen Entwickler. Die Opfer werden durch Social-Engineering-Methoden dazu gebracht, infizierte Software zu installieren. Der anschließende Infektionsprozess verläuft mehrstufig und betrifft Windows-, macOS- sowie Linux-Systeme gleichermaßen.

Das Besondere an EtherHiding: Die Angreifer speichern ihren Schadcode in einer unveränderlichen Blockchain und rufen ihn über Read-only-Abfragen ab. Dadurch behalten sie kontinuierliche und anonyme Kontrolle über ihre Operationen, während sie die Malware-Nutzlast jederzeit flexibel anpassen können. Ihr Ziel ist der Diebstahl von Kryptowährungen und sensiblen Daten.

Infrastruktur lässt sich nicht abschalten

Die Kombination aus Blockchain-Technologie und staatlicher Unterstützung macht diese Angriffswelle besonders gefährlich. Im Gegensatz zu herkömmlicher Command-and-Control-Infrastruktur können Strafverfolgungsbehörden die in der Blockchain gespeicherten Befehle nicht einfach abschalten oder blockieren. Die Dezentralität und Unveränderlichkeit der Blockchain erschwert defensive Maßnahmen erheblich.

Anzeige

“Diese Entwicklung signalisiert eine neue Eskalationsstufe in der Bedrohungslandschaft”, warnt Robert Wallace, Consulting Leader bei Mandiant – Google Cloud und Mitautor der Untersuchung. “Staatlich unterstützte Angreifer setzen nun auf Techniken, um Malware zu verbreiten, die gegen Abschaltungen durch Strafverfolgungsbehörden resistent ist und sich leicht für neue Kampagnen anpassen lässt.”

(lb/Google Cloud)


Anzeige

Weitere Artikel

Phishing: Microsoft ist Spitzenreiter bei Markenmissbrauch
Kritische Sicherheitslücke in WordPress-Theme „Service Finder”
Schwerwiegende Schwachstellen in Remote Terminal Units (RTUs) von Red Lion entdeckt
Jeder zweite Behörden-Beschäftigte von Cyberangriffen betroffen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.