Die Lazarus Group, auch HIDDEN COBRA, genannt, ist eine Cybercrime Gruppierung, die weltweit für viele Cyberangriffe verantwortlich gemacht wird. Das Cybersicherheitsunternehmen Kaspersky Lab teilte am 23.08.2018 mit, dass diese Gruppe jetzt Malware verwendet die mit gefälschten Installationsroutinen das MacOS angreift. Dabei haben sie es auf Krypto Exchanges abgesehen.
Lazarus Group ist verantwortlich, für die “Operation Troja”, eine Cyber-Spionage-Kampagne, die mit Hilfe von einfachen verteilten Denial-of-Service-Attacken (DDoS) die südkoreanische Regierung in Seoul ins Visier nahm. Dieser Angriff fand von 2009-2012 statt. Es ist noch nicht klar, wer wirklich hinter der Gruppe steht, aber einige Medien berichten, dass die Gruppe von Nordkorea aus operiert.
Laut Kaspersky Lab ist die Lazarus Group eine der größten Bedrohungen in der aktuellen Cyber Welt. Diese Gruppierung beschäftigt sich hauptsächlich mit Cyberkriminalität wie Cyberspionage und Cybersabotage. Sie hackt auch Banken und andere Finanzunternehmen auf der ganzen Welt. In den letzten Monaten hat Lazarus verschiedene Banken kompromittiert und eine Reihe von globalen Krypto-Exchanges und Fintechs attackiert.
Bei der Überprüfung einer von Lazarus gehackten Krypto Exchange stellte Kaspersky Lab fest, dass die Exchange mit einer trojanisierten Krypto Trading App infiziert wurde, die dem Unternehmen per E-Mail vorgeschlagen worden war. Es wurde ferner festgestellt, dass ein Mitarbeiter des Unternehmens bereitwillig eine Anwendung eines Drittanbieters von einer täuschend echt aussehenden Website heruntergeladen hatte. Dadurch wurden die Systeme mit Malware, bekannt als Fallchill, infiziert. Fallchill ist ein altes Tool, das Lazarus jetzt wieder benutzt. Demnach entwickelten die Hacker Malware für andere Plattformen wie MacOS, um zu verhindern, dass sie allein durch das Betriebssystem ausgesperrt werden. Dieser Fall zeigt, dass die Lazarus Group nun auch Nicht-Windows-Plattformen im Visier hat.
Was bedeutet Operation AppleJeus
Kaspersky schrieb:
Am Ende des Installationsvorgangs führt das Installationsprogramm sofort das Modul Updater.exe mit dem Parameter “CheckUpdate” aus. Diese Datei sieht aus wie ein normales Tool und wird höchstwahrscheinlich nicht den Verdacht von Systemadministratoren wecken. Sie enthält sogar eine gültige digitale Signatur, die zum gleichen Anbieter gehört. Aber der Teufel steckt wie immer im Detail.
Der Entwickler schrieb dieses Projekt unter dem Codenamen “jeus”, der in einem im Updater enthaltenen PDB-Pfad entdeckt und als eindeutiger HTTP-Bestandteil verwendet wurde. Aus diesem Grund, und der Tatsache, dass die angegriffenen Plattformen auch Apples MacOS einschließen hat Kaspersky beschlossen, diese Operation AppleJeus nennen.
Trojanisierte Anwendung für Windows
Die Angreifer verwendeten eine ausgefeilte Technik. Der Trojaner-Code wurde in Form eines Updates für die Trading App erzwungen. Eine authentifizierte und korrekt aussehende Anwendung namens Celas Trade Pro von Celas Limited zeigte keine Anzeichen von bösartigem Verhalten und sah echt aus. Diese Anwendung ist eine von Celas entwickelte Krypto Trading App im All-in-One-Stil. Jeder Benutzer kann die App von der Celas-Website herunterladen. Forscher von Kaspersky fanden heraus, dass das von der Website heruntergeladene Installationspaket einen sehr verdächtigen Updater beinhaltet.
Installationspaket Download Seite – Quelle: Kaspersky Lab
Windows Version des Installationspaket:
MD5: 9e740241ca2acdc79f30ad2c3f50990a
File name: celastradepro_win_installer_1.00.00.msi
File type: MSI installer
Creation time: 2018-06-29 01:16:00 UTC
Trojanisierte Trading App für MacOS
Celas LLC hat auch eine lokale Version seiner Trading App zur Verfügung gestellt. Ein verstecktes “Autoupdater”-Modul wird im Hintergrund eingefügt, um sofort nach der Installation und nach jedem Neustart des Systems zu starten. Es kommuniziert dann mit dem Command and Control (C2) Server, so dass es eine zusätzliche ausführbare Datei vom Server herunterladen und ausführen kann. Die Kommunikation entspricht der Windows-Version des Updaters und ist als Bilddatei-Upload und -Download getarnt, wobei die Daten verschlüsselt übertragen werden.
Celas Trade Pro App plist file (Apple Eigenschaften) – Quelle: Kaspersky Lab
Installation file:
MD5: 48ded52752de9f9b73c6bf9ae81cb429
File Size: 15,020,544 bytes
File Type: DMG disk image
Known file name: celastradepro_mac_installer_1.00.00.dmg
Date of creation: 13 July 2018
Kaspersky Lab führte weiter aus:
Sobald die Cellas Trade Pro App auf MacOS installiert ist, startet sie die Updater-Anwendung über eine Datei namens “.com.celastradepro.plist” (beachten Sie, dass sie mit einem Punkt-Symbol beginnt, wodurch sie in der Suche und im Standard-Terminalverzeichnis nicht aufgeführt wird). Die Datei “Updater” wird beim Start mit dem Parameter “CheckUpdate” übergeben.
Der Trojaner funktioniert ähnlich wie in der Windows-Version. Beide Anwendungen werden über ein plattformübergreifendes QT-Framework ausgeführt. Nach dem Start erstellt der Downloader eine spezielle Kennung für den infizierten Host unter Verwendung einer String-Vorlage im Format “%09d-%06d”. Danach sammelt die App grundlegende Systeminformationen, die bei MacOS mithilfe dedizierte QT-Klassen erfolgen.
Dass ist nicht das erste Mal, das die Lazarus Group Krypto Exchanges ins Visier nimmt. Bisher haben sie hauptsächlich Exchanges aus Südkorea angegriffen. Vergangene Angriffe richteten sich zum Beispiel gegen Bithumb, YouBit und Coinlink.
Verpass keine wichtigen Nachrichten mehr!
Folge uns auf Twitter, Facebook, Steemit und tritt unserem Telegram News Kanal oder Newsletter bei.
Du würdest diesen Artikel gerne kommentieren? Dann tritt einfach unserer Telegram Diskussions-Gruppe bei.
Du hast eine Leidenschaft für die Themen Bitcoin, Blockchain und Kryptowährungen? Du hast Talent als Schreiber und Lust darauf in einem Team mit anderen kryptobegeisterten Leuten zu arbeiten? Dann melde dich bei uns und werde Teil unseres Teams! Schicke uns noch heute eine Kurzbewerbung an marcel@cryptoticker.io! Wir freuen uns auf eure Bewerbungen.
Dieser Artikel wurde vom Englischen ins Deutsche übertragen von:
Christian Rehm
Senior IT Consultant und Crypto Enthusiast immer auf der Suche nach interessanten Neuigkeiten.