Cybersicherheitsexperten von Kaspersky haben Details zu einer hochkomplexen Cyberattacke enthüllt, die von der nordkoreanischen Hackergruppe Lazarus durchgeführt wurde. Die Angreifer nutzten eine raffinierte Kombination aus einer gefälschten DeFi-Spiele-Website und einer bisher unbekannten Sicherheitslücke im Google Chrome-Browser, um Nutzer weltweit zu kompromittieren.
Entdeckung einer neuen Variante der Manuscrypt-Malware
Im Mai 2024 identifizierten Forscher eine neue Version des Manuscrypt-Backdoors auf dem Computer eines Kunden in Russland. Manuscrypt ist ein leistungsfähiges Tool, das seit 2013 von der Lazarus-Gruppe für Angriffe auf verschiedene Organisationen eingesetzt wird, darunter Regierungsbehörden, Finanzinstitute sowie IT- und Telekommunikationsunternehmen. Diese Entdeckung war der Ausgangspunkt für eine umfassende Untersuchung, die eine ausgeklügelte Angriffskampagne aufdeckte.
Gefälschte DeFi-Spiele-Website als Köder
Die Untersuchung ergab, dass die Infektionsquelle die Website detankzone[.]com war, die ein NFT-basiertes Panzer-MOBA-Spiel namens DeTankZone bewarb. Das Spiel wurde als Play-To-Earn-Projekt präsentiert und versprach Kryptowährungsbelohnungen für virtuelle Schlachten. In Wirklichkeit war die Funktionalität des Spiels auf einen Anmeldebildschirm beschränkt, und die interne Infrastruktur war deaktiviert.
Diebstahl des Quellcodes eines echten Spiels
Die Forscher stellten fest, dass die Hacker den gestohlenen Quellcode des echten Spiels DeFiTankLand verwendeten, wobei sie das Logo änderten und Verweise auf das Originalprojekt entfernten. Es wird vermutet, dass Lazarus auch 20.000 Dollar in Kryptowährung aus der Wallet der Entwickler des Originalspiels entwendet hat.
Ausnutzung einer Zero-Day-Schwachstelle in Chrome
Ein Schlüsselelement des Angriffs war die Ausnutzung der Sicherheitslücke CVE-2024-4947 im Google Chrome-Browser. Diese Zero-Day-Schwachstelle ermöglichte es den Angreifern, die Kontrolle über das Gerät des Opfers zu erlangen, beliebigen Code auszuführen und Schutzmechanismen zu umgehen. Für eine Infektion reichte es aus, die bösartige Website zu besuchen, ohne das Spiel selbst starten zu müssen.
Zusätzliche Angriffsvektoren
Die Hacker nutzten die Schwachstelle auch, um die V8-Sandbox in Chrome zu umgehen (Problem 330404819, das im März 2024 behoben wurde). Nach erfolgreicher Ausnutzung sammelte der Schadcode Informationen über das System des Opfers und sendete die Daten an die Server der Angreifer.
Umfang und Auswirkungen der Kampagne
Die Lazarus-Gruppe bewarb das gefälschte Spiel aktiv in sozialen Medien, nutzte Phishing-E-Mails und Premium-LinkedIn-Konten für gezielte Angriffe. Diese Kampagne demonstriert die zunehmende Komplexität und Ambition von Cyberangriffen und stellt eine potenzielle Bedrohung für Benutzer und Organisationen weltweit dar.
Dieser Vorfall unterstreicht die Bedeutung ständiger Wachsamkeit in Cybersicherheitsfragen. Benutzern wird empfohlen, Browser und Betriebssysteme regelmäßig zu aktualisieren und verdächtige Links und Downloads, insbesondere im Zusammenhang mit Kryptowährungsprojekten, mit Vorsicht zu behandeln. Organisationen sollten ihre Schutzmaßnahmen verstärken, einschließlich des Einsatzes fortschrittlicher Bedrohungserkennungssysteme und der Durchführung regelmäßiger Cybersicherheitsschulungen für Mitarbeiter. Nur durch kontinuierliche Aufmerksamkeit und proaktive Maßnahmen können wir uns gegen die sich ständig weiterentwickelnden Bedrohungen in der digitalen Landschaft wappnen.
