Nordkoreanische Gruppe ScarCruft weitet ihre Aktivitäten von Spionage auf Ransomware-Angriffe aus

Die nordkoreanischen Hacker von ScarCruft wechseln von Spionage zu Ransomware. Sie nutzen VCD-Malware für Phishing-Angriffe und zielen mit fortschrittlichen Tools auf Südkorea ab. Entdecken Sie, wie diese neue Malware einen Wechsel von Spionage zu finanziell motivierten Cyberangriffen markiert.

Die bekannte nordkoreanische Hackergruppe ScarCruft ändert ihre Methoden und erweitert ihre üblichen Spionagemethoden um eine neue Angriffsart. Cybersicherheitsexperten der südkoreanischen Firma S2W veröffentlichten kürzlich einen Bericht , der enthüllt, dass ScarCruft nun eine neue Ransomware namens VCD verwendet.

Dies ist eine kritische Wende, da sich die Gruppe traditionell darauf konzentriert, Informationen von hochrangigen Personen und Regierungsbehörden in Ländern wie Südkorea, Japan und Russland zu stehlen.

Die jüngste Kampagne der Gruppe, die von einer Untergruppe namens ChinopuNK durchgeführt wurde, fand im Juli statt und zielte mit Phishing-E-Mails auf Menschen in Südkorea ab. Diese E-Mails enthielten eine trickreiche Datei, die als Update für Postleitzahlen getarnt war.

Nach dem Öffnen dieser Datei infizierte sie den Computer des Opfers mit mehr als neun verschiedenen Arten von Schadsoftware, darunter eine neue Variante der bekannten Schadsoftware ChillyChino und eine Backdoor, die in der Programmiersprache Rust geschrieben war. Darunter befanden sich Programme zum Diebstahl von Informationen wie LightPeek und FadeStealer sowie eine Backdoor namens NubSpy, die es den Hackern ermöglichte, den Computer heimlich zu steuern.

Diese Hintertür ist besonders clever, da sie einen Echtzeit-Messaging-Dienst namens PubNub nutzt, um ihren bösartigen Datenverkehr innerhalb der normalen Netzwerkaktivität zu verbergen. Bemerkenswert ist diese Kampagne auch, weil sie die neue VCD-Ransomware enthielt, die die Dateien einer Person sperrt und ein Lösegeld fordert. Die Lösegeldforderung ist sogar auf Englisch und Koreanisch verfügbar.

Laut dem Threat Analysis and Intelligence Center (TALON) von S2W deutet dieser neue Ansatz darauf hin, dass ScarCruft seine Spionageaktivitäten möglicherweise auch finanziell motiviert verfolgt. Die Gruppe ist Teil eines größeren Netzwerks nordkoreanischer Hacker, die dafür bekannt sind, Geld für die Regierung des Landes zu generieren, das mit zahlreichen Wirtschaftssanktionen konfrontiert ist.

In einem Bericht der Vereinten Nationen aus dem letzten Jahr ( PDF ) heißt es sogar, dass nordkoreanische Hacker, darunter Gruppen wie Lazarus und Kimsuky , im Laufe von sechs Jahren rund 3 Milliarden Dollar gestohlen hätten.

Mayank Kumar , Gründer und KI-Ingenieur der Firma DeepTempo, kommentierte diese Entwicklung und betonte, wie komplexer diese Angriffe werden. Gegenüber Hackread.com erklärte Kumar, dass der Einsatz von Ransomware durch ScarCruft neben den üblichen Spionagetools einen neuen Trend zeige, bei dem staatlich unterstütztes Hacking und kriminelle Taktiken miteinander verschmelzen.

„Fortgeschrittene, hartnäckige Bedrohungsgruppen müssen ihre Tools erweitern und die Grenze zwischen Spionage und Cyberkriminalität verwischen. Verteidiger müssen sich auf Kampagnen vorbereiten, bei denen Ransomware ein Element einer mehrstufigen Operation ist. Adaptive, Deep Learning-basierte Anomalieerkennung im Netzwerkverkehr, bei Systemereignissen und Sicherheitsprotokollen, gepaart mit starker Segmentierung, schneller Eindämmung und Transparenz sowohl menschlicher als auch automatisierter Angriffsaktivitäten, ist unerlässlich, um solchen kombinierten Bedrohungen entgegenzuwirken“, so Kumar.