Google deckte eine recht smarte Hackerkampagne der nordkoreanischen Hacker auf. Mit einem einfallsreichen Trick lockten sie Sicherheitsforscher in eine Falle. Dabei suchten sie nicht nach Schwachstellen oder Angriffsvektoren, um die Forscher anzugreifen. Nein, vielmehr wollten die Hacker die Finger an die neuesten, noch nicht bekannten Sicherheitslücken und Tools kriegen.

Geschickt bauten sie Vertrauen zu Sicherheitsforschern auf über einen eigenen Sicherheitsblog. Dort berichteten sie über die Entdeckung und Schließung neuer Lücken und eigenen Erkenntnissen. Sicherheitsexperten konnten darin sogar Gastbeiträge veröffentlichen.

Langsamer Vertrauensaufbau über Social-Media-Konten

Die nordkoreanischen Staatshacker gründeten eine falsche Sicherheitsfirma samt Website und Social-Media-Konten. SecuriElite, so der Name des Unternehmens, gab an, in der Türkei ansässig zu sein. SecuriElite bot Penetrationstests, Software-Sicherheitsbewertungen und Exploits an. Die Hacker, die diese Seite betrieben, begannen schon Anfang 2021 eine Kampagne über gefälschte Twitter-Profile. Die angeblichen Schwachstellenforscher veröffentlichten so einen Internet Explorer-Zero-Day und ein bösartiges Visual Studio-Projekt. Beides Mal sollte darüber maßgeschneiderte Malware installiert werden.

Im März wurde dann die SecuriElite Website und weitere neue Social-Media-Konten durch Google TAG entdeckt. Google TAG spezialisiert sich auf das Aufspüren von APT-Hackergruppen und fand im Januar heraus, dass die nordkoreanischen Cybertruppen ein Netz aus gefälschten Profilen in den sozialen Medien aufgebaut hatten. Auf Twitter, Keybase und LinkedIn versuchten sie weitere Glaubwürdigkeit aufzubauen und Kontakte mit Sicherheitsforschern zu knüpfen. Neben dem Forschungsblog wurden auch mehrere Twitter-Profile eingerichtet. Darüber boten sie ganz gezielt ausgesuchten Sicherheitsforschern die Mitarbeit an bestimmten Projekten an. Doch die Zusammenarbeit hatte nur das Ziel, eine eigens entwickelte Schadsoftware auf die Rechner der Partner zu übertragen. Diese nahm dann Verbindung mit einem C2-Server der Hacker auf, um die Forscher auszuspionieren.

Auf der SecuriElite Website fügten die Hacker ein Link zuAgain einem öffentlichen PGP-Schlüssel hinzu. Obwohl PGP ein sicherer Kommunikationsstandard ist, nutzten die Hacker diese Links zuletzt, um ihre Opfer auf ihre Website zu locken. Dort wartete dann ein heimtückischer Browser Exploit auf sie. Auch ein Visual Studio-Projekt, das mit bösartigem Code und einer Backdoor infiziert war, stand bereit zur Installation. Opfer konnten auch über einem bösartigen Twitter-Link infiziert werden.

Alle Sicherheitsforscher, die Opfer dieser Kampagne wurden, verwendeten laut TAG vollständig gepatchte und aktuelle Windows 10- und Chrome-Browserversionen. Gemäß Tag würde das darauf hindeuten, dass die koreanischen Hacker wahrscheinlich Zero-Day-Schwachstellen für ihre Kampagne nutzten.

Nordkoreanische Staatshacker gaben sich viel Mühe

Die nordkoreanischen Staatshacker gaben sich viel Mühe mit ihrer neuen Operation. Die Google Forscher schrieben:

„Auf LinkedIn haben wir zwei Profile identifiziert, die sich als Rekrutierer für Antiviren- und Sicherheitsunternehmen ausgeben“.

Google Tag berichtete:

„Wir haben alle identifizierten gefälschten Social-Media-Profile an die jeweiligen Plattformen gemeldet, damit sie entsprechende Maßnahmen ergreifen können. Danach haben wir keine weitere Bereitstellung neuer bösartige Inhalte auf der gefälschten Website beobachtet.“

Google Tag sagte, die Webseite sei zu Google Safebrowsing hinzugefügt worden.

Weiter wurden eine Liste aller gefundenen falschen Webseiten und Social-Media-Konten zusammengestellt.

Gefälsche SecuriElite Webseite:

www.securielite[.]com

Twitter Profile:

​https://twitter.com/alexjoe9983
https://twitter.com/BenH3mmings
https://twitter.com/chape2002
https://twitter.com/julia0235
https://twitter.com/lookworld0821
https://twitter.com/osm4nd
https://twitter.com/seb_lazar
https://twitter.com/securielite​

​​LinkedIn Profile:

• SecuriElite: https://www.linkedin.com/company/securielite/
• Carter Edwards, Personaldirektor bei Trend Macro: https://www.linkedin.com/in/carter-edwards-a99138204/
• Colton Perry, Sicherheitsforscher: https://www.linkedin.com/in/colton-perry-6a8059204/
• Evely Burton, Technischer Recruiter bei Malwarebytes: https://www.linkedin.com/in/evely-burton-204b29207/
• Osman Demir, CEO bei SecuriElite: https://www.linkedin.com/in/osman-demir-307520209/
• Piper Webster, Sicherheitsforscher: https://www.linkedin.com/in/piper-webster-192676203/
• Sebastian Lazarescue, Sicherheitsforscher bei SecuriElite – https://www.linkedin.com/in/sebastian-lazarescue-456840209/

E-Mail-Konten:

• contact@securielite.com
• osman@securielite.com
• submit@securielite.com

Domains der Hackergruppe:

• bestwing[.]org
• codebiogblog[.]com
• coldpacific[.]com
• cutesaucepuppy[.]com
• devguardmap[.]org
• hireproplus[.]com
• hotelboard[.]org
• mediterraneanroom[.]org
• redeastbay[.]com
• regclassboard[.]com
• securielite[.]com
• spotchannel02[.]com
• wileprefgurad[.]net

Artikel von zdnet.com, 01.04.2021: Google: North Korean hackers are targeting researchers through fake offensive security firm
Artikel von arstechnica.com, 01.04.2021: North Korean hackers return, target infosec researchers in new operation
Artikel von threatpost.com, 01.04.2021: Google: North Korean APT Gearing Up to Target Security Researchers Again
Artikel von blog.google, 31.03.2021: Update on campaign targeting security researchers

Beitragsbild: Public Domain, Creative Commons CC0, Chickenonline über pixabay