Nordkoreanische Hackergruppen entwickeln neue Methoden, um Web3-Unternehmen ins Visier zu nehmen, einschließlich einiger, die darauf abzielen, Apple-Systeme zu infizieren. Zudem wird der Einsatz von Social Engineering in diesen Angriffen immer häufiger, was den Grad der Vorbereitung bei diesen Operationen unterstreicht.
Nordkoreanische Hackergruppen setzen neue Methoden ein, um Web3-Unternehmen zu attackieren
GESCHRIEBEN VON
TEILEN
Neue Methoden der nordkoreanischen Hacker: Nim-Malware und Clickfix
Hackergruppen aus Nordkorea wenden zunehmend neue Methoden an, um Web3-Unternehmen anzugreifen und nutzen deren Schwachstellen aus, um Zugriff auf deren Systeme zu erlangen. Eine dieser Methoden, identifiziert als Nimdoor, fokussiert sich darauf, Apple-Systeme aufgrund ihrer hohen Beliebtheit zu infizieren.
Laut The Hacker News verwendet der Angriff Social Engineering, um die Ziele zu erreichen und Meetings über Videokonferenzsoftware wie Zoom zu arrangieren. Die Einladung zum Zoom-Call enthält einen Link zu einem Programm, das für den Benutzer die Zoom-Software auf die neueste Version aktualisiert.
In Wirklichkeit liefert die Software jedoch ein Skript, das es Angreifern ermöglicht, Systeminformationen zu sammeln und beliebigen Code auszuführen, wodurch das infizierte System zur Fernverwaltung geöffnet wird.
Ermittler hoben hervor, dass dies zeigt, wie nordkoreanische Hacker die Fähigkeiten von Apple-Systemen nutzen, um ihre Angriffe zu vervollständigen.
Die Sentinelone-Forscher Phil Stokes und Raffaele Sabato erklärten:
Die ziemlich einzigartige Fähigkeit von Nim, Funktionen während der Kompilierungszeit auszuführen, ermöglicht es Angreifern, komplexes Verhalten in ein Binärprogramm zu integrieren, ohne einen offensichtlichen Kontrollfluss zu zeigen, was zu kompilierten Binärdateien führt, in denen Entwicklercode und Nim-Laufzeitcode sogar auf Funktionsebene vermischt sind.
Darüber hinaus verwenden nordkoreanische Gruppen auch andere E-Mail-basierte Methoden für ihre Zwecke, in einer Kampagne, die Forscher Babyshark genannt haben. Die Methode beinhaltet das Versenden von gefälschten Dokumenten, die so gestaltet sind, dass der Benutzer den Drang verspürt, sie zu öffnen.
Es wurde berichtet, dass die Dokumente als Interviewanfragen von echten Zeitungen, Datenanfragen von Geheimdienstmitarbeitern über Besuche in anderen Ländern und diplomatische Papiere getarnt sind.
Die Situation wird noch gefährlicher, wenn Agenten dieser Gruppen in die angegriffenen Organisationen eindringen, wie dokumentiert wurde, dass es in der Vergangenheit geschehen ist. Laut Blockchain-Sicherheitsexperte Zackxbt wurden seit Anfang 2025 über 16 Millionen Dollar an diese Agenten gezahlt, die sich als Entwickler in diesen Unternehmen ausgeben.
Mehr lesen: US-Krypto-Börsen ein ‘blinder Fleck’ in Nordkoreas Geldwäscheschema
