US-Regierung warnt vor neuer nordkoreanischer Backdoor-Malware

Die US Cybersecurity and Infrastructure Security Agency (CISA) warnt vor einer neuen Schadsoftware, die ihrer Ansicht nach von Hackern verbreitet wird, die durch die nordkoreanische Regierung unterstützt werden. Die Malware wurde demnach bei Angriffen auf Firmen in und außerhalb der USA eingesetzt, vor allem gegen den Rüstungssektor und Luftfahrtunternehmen.

Analysiert wurden die Attacken von McAfee (Operation North Star) und ClearSky (Operation DreamJob). Die Angreifer sollen sich jeweils als Vertreter von Personalabteilungen großer Unternehmen ausgeben, die auf der Suche nach neuen Mitarbeitern sind. Die angesprochenen Opfer werden aufgefordert, an einem Bewerbungsverfahren teilzunehmen, in dessen Verlauf sie speziell gestaltete Office- oder PDF-Dokumente erhalten. Diese wiederum setzten die Hacker ein, um die Computer ihrer Opfer mit Schadsoftware zu infizieren.

Die Warnmeldung der CISA konzentriert sich auf die die eigentliche Schadsoftware, die die Angreifer einsetzen: einen Remote-Access-Trojaner namens Blindingcan, der „Informationen über Schlüsseltechnologien für Militär und Energie“ sammeln soll.

Unter anderem ist Blindingcan in der Lage, Daten über die installierten Festplatten, das Betriebssystem und den Prozessor abzufragen. Erfasst werden aber auch die lokale IP-Adresse und die MAC-Adresse. Darüber hinaus kann die Malware neue Prozesse anlegen, starten und beenden, Dateien lesen, schreiben, suchen und ausführen und Zeitstempel von Dateien und Ordnern ändern.

Die Warnmeldung liefert weitere technische Details zu der Schadsoftware. Sie enthält auch sogenannte Indicators of Compromise, also Merkmale, an denen Betroffene erkennen können, ob sie mit Blindingcan infiziert wurden.

Die aktuelle Meldung ist bereits die 35. Warnung der US-Regierung von Hackerangriffen aus Nordkorea. Allein die CISA veröffentlichte seit Mai 2017 31 Berichte über neue Malware-Familien, die ihren Ursprung in Nordkorea haben sollen. Laut einem Bericht des US-Militärs sollen viele nordkoreanische Hacker von anderen Staaten aus agieren, unter anderem Weißrussland, China, Indien, Malaysia und Russland.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

14 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

14 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

16 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

18 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

20 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

21 Stunden ago