BlueNoroff nutzt ClickFix, dateilose PowerShell und KI-generierte gefälschte Zoom-Meetings zur gezielten Angriffe auf den Web3-Sektor

Zusammenfassung

BlueNoroff, eine finanziell motivierte Untergruppe der mit der DVRK verbundenen Lazarus-Gruppe, führte einen gezielten Einbruch gegen ein nordamerikanisches Web3- und Kryptowährungsunternehmen durch. Die Angreifer kombinierten ClickFix-Techniken, fileless PowerShell-Ausführung und KI-generierte gefälschte Zoom-Einladungen zu Besprechungen, um anfänglichen Zugriff zu sichern und ihre Reichweite innerhalb der Umgebung zu erweitern. Der Einsatz zeigt eine ausgereifte Mischung aus Social Engineering und „Living-off-the-land“-Taktiken zur Unterstützung von Kryptowährungsdiebstahl.

Untersuchung

Arctic Wolf-Analysten entdeckten den Einbruch, nachdem sie ungewöhnliche PowerShell-Aktivitäten und bösartige Zoom-Besprechungslinks mit KI-generierten Inhalten festgestellt hatten. Weitere Beweise wiesen auf ClickFix-Übermittlungsmethoden und fileless Ausführung hin, was auf einen klaren Versuch hindeutet, konventionelle Antivirenabwehr zu umgehen. Die Zuordnung zu BlueNoroff basierte auf den beobachteten Werkzeugen, dem operativen Verhalten und Handelsmuster, die lange mit Aktivitäten der Lazarus-Gruppe assoziiert sind.

Minderung

Organisationen sollten eine Multi-Faktor-Authentifizierung für Zoom und andere Konferenzplattformen verlangen, unnötigen PowerShell-Remote-Zugriff einschränken und aufmerksam auf verdächtige ClickFix-bezogene Binärdateien überwachen. Sicherheitskontrollen für E-Mails sollten ebenfalls gestärkt werden, um KI-generierte Phishing-Köder zu erkennen, während Benutzer geschult werden sollten, unerwartete Besprechungseinladungen zu überprüfen, bevor sie darauf reagieren.

Reaktion

Wird diese Aktivität entdeckt, sollten die betroffenen Endpunkte sofort isoliert, flüchtiger Speicher gesichert und eine forensische Analyse der PowerShell-Protokolle und aller ClickFix-bezogenen Artefakte durchgeführt werden. Kompromittierte Anmeldedaten sollten widerrufen, sensible Geheimnisse ersetzt und Verfahren zur Vorfallreaktion für potenziellen Kryptowährungsdiebstahl aktiviert werden. Relevante Indikatoren sollten auch mit Branchen-ISACs geteilt und Erkennungen aktualisiert werden, um die neuesten Erkenntnisse widerzuspiegeln.