Sparkling Pisces nutzt neue Malware-Varianten


Nordkoreanische Bedrohungsakteure geben sich als Arbeitgeber aus
Zwei neue Forschungsberichte zu nordkoreanischen Bedrohungsakteuren


In einem neuen Forschungsbericht zeigt das Unit 42-Team von Palo Alto Networks auf, wie die nordkoreanische APT-Gruppe "Sparkling Pisces" (auch bekannt als Kimsuky) ihre Cyber-Spionage-Aktivitäten weiter ausbaut. Die Gruppe, die für Angriffe auf Regierungen, Medien und andere Schlüsselbranchen bekannt ist, setzt dabei auf neue, bisher undokumentierte Malware-Varianten, um Informationen zu stehlen und sich Zugang zu vertraulichen Systemen zu verschaffen.

Die wichtigsten Erkenntnisse im Überblick:

>> Unit 42 hat zwei bisher unbekannte Malware-Varianten identifiziert: KLogEXE, eine Keylogger-Malware, und FPSpy, eine modifizierte Backdoor-Variante. Beide Varianten weisen deutliche Code-Ähnlichkeiten auf, was auf eine gemeinsame Entwicklungsbasis hinweist.

>> Die Untersuchung bringt die neue Malware mit früheren Kimsuky-Kampagnen in Verbindung, die insbesondere auf südkoreanische Nutzer abzielten, und bietet Einblicke in deren Infrastruktur und Command-and-Control-Systeme.

>> Die Forschungsergebnisse zeigen die kontinuierliche Weiterentwicklung des Tool-Sets sowie der Infrastruktur der Gruppe, um Angriffe zu verschleiern.

Das Unit 42-Team von Palo Alto Networks hat neue Erkenntnisse zu einer nordkoreanischen Kampagne veröffentlicht, die sich gegen Arbeitssuchende im Technologiesektor richtet. Die Kampagne mit dem Namen CL-STA-240 Contagious Interview (auf Deutsch etwa "ansteckendes Vorstellungsgespräch") untersucht, wie sich nordkoreanische Bedrohungsakteure auf Plattformen wie LinkedIn als Recruiter ausgeben und durch Malware an sensible Daten gelangen. Bereits im November 2023 haben die Forscher von Unit 42 zwei neue Malware-Familien gefunden, die unter Windows, Linux und macOS ausgeführt werden können, um Anmeldedaten, in Browsern gespeicherte Kreditkarteninformationen und Kryptowährungs-Wallets zu stehlen. Seitdem haben die Experten zusätzliche Online-Aktivitäten und Code-Updates verfolgt.

Die wichtigsten Erkenntnisse im Überblick:

>> Die Malware-Variante BeaverTail zielt sowohl auf macOS als auch auf Windows ab und kann Daten und Kryptowährungen aus 13 verschiedenen Wallets stehlen.

>> Die Angreifer geben sich als Recruiter aus und führen Vorstellungsgespräche mit Softwareentwicklern. In diesen versuchen sie, die Bewerber zu überzeugen, Malware zu installieren, die als seriöse Software wie MiroTalk und FreeConference getarnt ist.

>> Die Malware-Variante InvisibleFerret kann nun zusätzliche Fernsteuerungssoftware herunterladen sowie Anmeldedaten und Kreditkarteninformationen stehlen.

>> Die Bedrohungsakteure aus Nordkorea verfolgen vermutlich ein finanzielles Ziel, da sich die Malware auf den Diebstahl von Kryptowährungen aus einer wachsenden Zahl von Wallets konzentriert. (Palo Alto Networks: ra)

eingetragen: 29.11.24
Newsletterlauf: 16.01.25

Palo Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Cyber-Angriffe

  • Was ist OT Cyber Threat Intelligence?

    Cyber Threat Intelligence (CTI) beschreibt das Sammeln, Verarbeiten, Analysieren, Verbreiten und Integrieren von Informationen über aktive oder aufkommende Cyber-Bedrohungen. Der wesentliche Zweck von CTI besteht darin, bösartige Cyber-Aktivitäten und -Gegner aufzudecken und dieses Wissen den Entscheidungsträgern im Unternehmen zur Verfügung zu stellen.

  • Schwachstellen in der IT-Infrastruktur

    Hat der VW-Konzern ein Datenleck wird darüber in allen Medien berichtet, doch VW und andere Großkonzerne mit Cybersicherheitsschwierigkeiten stellen nur die Spitze des Eisbergs dar. Das Rückgrat der deutschen Wirtschaft bilden die kleinen und mittelständischen Unternehmen (KMU), zu denen rund 99 Prozent aller Unternehmen in Deutschland zählen. Diese Unternehmen sind praktisch jeden Tag zahlreichen Angriffsversuchen aller Art ausgesetzt. Sie stellen in den Augen der Angreifer oft die Ziele dar, die den geringsten Widerstand leisten. Dadurch wirken sie für Angreifer besonders attraktiv. Auch wenn Erpressungsversuche etc. bei KMU meist nicht die Summen einbringen, wie das bei Großkonzernen der Fall ist, ist es die "Masse", die es letztlich für die Angreifer unterm Strich lukrativ macht.

  • Engagierter IT-Admin: Mehr Fluch als Segen?

    Sogar Cybersecurity-Experten, die sich den ganzen Tag mit nichts anderem als IT-Sicherheit beschäftigen, haben heute Mühe, sich auf dem aktuellen Stand der Entwicklungen zu halten. Wie sollen da unterbesetzte IT-Abteilungen Cybersicherheit für ihr Unternehmen gewährleisten? Es wird Zeit, dass die Chefetage die Verantwortung für die IT-Security an sich zieht, Raum für eine ehrliche Situationsanalyse schafft und engagierte IT-Admins sich die Grenzen ihrer eigenen Ressourcen eingestehen.

Phishing-Websites als Webplattformen Bedrohung: QR-Code-Phishing-Angriffe

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen