Trend Micro veröffentlicht eine neue Analyse zur nordkoreanischen APT-Gruppe Void Dokkaebi (auch bekannt als Famous Chollima). Die Untersuchung zeigt, wie die Gruppe gezielt russische Internet-Infrastruktur nutzt, um Krypto-Diebstähle und Spionageoperationen durchzuführen und dabei Anonymität zu wahren. Trend Micro deckt auf, dass Void Dokkaebi sich dabei einer komplexen Infrastruktur aus russischen und nordkoreanischen IP-Adressen, VPNs und Proxies bedient und Fake-Firmen sowie Social-Engineering-Taktiken einsetzt, um Opfer weltweit zu kompromittieren.
Zusammenfassung:
- Void Dokkaebi nutzt russische IP-Adressen, insbesondere aus den russischen Städten Chabarowsk und Chasan, als Teil seiner Infrastruktur für Cyberangriffe.
- Die Gruppe betreibt Anonymisierungsnetzwerke aus VPS-Servern, Proxies und VPN-Diensten.
- Fake-Firmen wie BlockNovas dienen dazu, IT-Fachkräfte anzulocken und Schadsoftware einzuschleusen.
- Primäre Ziele sind der Diebstahl von Kryptowährungen sowie Spionage bei Technologie- und Energieunternehmen.
- Trend Micro fand Trainingsmaterial der Gruppe in englischer Sprache, das Techniken wie C2-Server-Setups und Passwort-Cracking demonstriert.
- Die Nutzung russischer Infrastruktur erlaubt Nordkorea, geografische Attribution zu erschweren und Operationen zu skalieren.
Nutzung russischer Infrastruktur
Trend Micros aktuelle Untersuchung zeigt erstmals, wie stark Russland als technisches Rückgrat für nordkoreanische Cyberoperationen fungiert. Die analysierten IP-Adressen befinden sich hauptsächlich im Osten Russlands und gehören ASN 20485 (TransTelecom), das Nordkorea seit 2017 eine zweite Internetanbindung bietet.
Void Dokkaebi nutzt dabei ein ausgefeiltes Netzwerk: Russische und nordkoreanische IP-Adressen ermöglichen es IT-Mitarbeitern, über RDP-Server, VPS-Systeme und VPNs anonym weltweit zu agieren. Über kompromittierte Maschinen oder Server wird ein "Sprungbrett" geschaffen, das es erlaubt, mit neuen Identitäten auf westliche Plattformen und Systeme zuzugreifen.
Täuschung durch Fake-Firmen
Eine zentrale Rolle in der aktuellen Kampagne spielt Social Engineering über Fake-Firmen. Ein Beispiel ist BlockNovas, eine scheinbar legitime Firma, die sich auf Blockchain-Technologien spezialisiert hat. Über professionelle Webauftritte und soziale Netzwerke kontaktiert die Gruppe gezielt Web3-Entwickler oder IT-Fachkräfte, oft aus Deutschland, der Ukraine oder den USA. Bewerber werden dazu gebracht, infizierte Dateien zu öffnen, die dann Zugang zu sensiblen Informationen und Kryptowährungs-Wallets ermöglichen.
Diebstahl und Spionage als Doppelstrategie
Trend Micros Analyse zeigt, dass diese Aktivitäten nicht nur auf Diebstahl beschränkt sind. Falls keine Kryptowährungen gefunden werden, nutzt Void Dokkaebi erlangte Zugänge, um gezielt Industriespionage zu betreiben. Dabei wird legitime Software (z. B. Dropbox oder Slack) für die Datenexfiltration zweckentfremdet.
Interne Trainingsprogramme der Angreifer
Besonders bemerkenswert: Trend Micro analysierte sieben interne Trainingsvideos der Gruppe in (gebrochener) englischer Sprache. Diese zeigen unter anderem, wie Beavertail-Command-and-Control-Server aufgebaut werden, wie Passwörter für Wallets geknackt werden und wie kompromittierte Systeme als Proxys weiterverwendet werden können. Die Inhalte deuten auf eine gut strukturierte Organisation hin, die offenbar auch externe Akteure für weniger kritische Aufgaben anlernt – ein Hinweis auf eine Art Cybercrime-Outsourcing durch Nordkorea.
Strategische Bedeutung russischer Systeme
Die Nutzung russischer Infrastruktur ist für Nordkorea strategisch von hoher Bedeutung. Mit nur rund 1.024 offiziellen IP-Adressen im eigenen Land muss Nordkorea alternative Wege finden, um globale Cyberoperationen effizient zu betreiben. Russische Systeme bieten dabei geografische Nähe, politische Deckung und technische Möglichkeiten, um große Volumen an Traffic anonym zu bewältigen.
Feike Hacquebord, Senior Threat Researcher bei Trend Micro und Mitautor der Analyse, kommentiert: „Wir haben bereits beobachtet, dass Bedrohungsakteure Tools wie ChatGPT nutzen, um Fragen in echten Online-Bewerbungsgesprächen zu beantworten. Es gibt auch Hinweise darauf, dass sie mit Deepfakes experimentieren. Sich auf eine Zukunft vorzubereiten, in der Angreifer sich als Kandidaten ausgeben, um unter dem Deckmantel legitimer Interviews an Daten zu gelangen, ist nicht nur sinnvoll, sondern absolut notwendig.“
Umfassender englischerBlogbeitrag: https://www.trendmicro.com/en_us/research/25/d/russian-infrastructure-north-korean-cybercrime.html
Gekürzter deutscher Blogbeitrag: https://www.trendmicro.com/de_de/research/25/d/russische-infrastruktur-fur-nordkoreanische-cybercrime.html
Über Trend Micro
Trend Micro, ein weltweit führender japanischer Anbieter von Cybersicherheit, schafft eine sichere Welt für den digitalen Datenaustausch zwischen Unternehmen, Behörden und Verbrauchern.
Mit jahrzehntelanger Expertise in IT-Sicherheit, globaler Bedrohungsforschung und kontinuierlicher Innovation nutzt Trend Micro modernste Technologien wie KI, um über 500.000 Unternehmen und Millionen von Einzelpersonen über Clouds, Netzwerke, Geräte und Endpunkte hinweg zu schützen.
Trend Micros Cybersecurity-Plattform für Unternehmen zentralisiert Cyberrisikomanagement, Security Operations und mehrschichtigen Schutz für lokale, hybride und Multi-Cloud-Umgebungen einschließlich souveräner Clouds. Das globale Bedrohungsforschungsteam von Trend liefert wertvolle Erkenntnisse, die in die Plattform einfließen und Unternehmen weltweit vor Hunderten Millionen von Bedrohungen täglich schützen.
Mit 7.000 Mitarbeitern in 70 Ländern versetzt Trend Sicherheitsverantwortliche in die Lage, Bedrohungen vorherzusagen und zu verhindern – und beschleunigt so proaktive Sicherheit in der gesamten digitalen Infrastruktur, einschließlich Umgebungen wie AWS, Google, Microsoft und NVIDIA.
Die deutsche Niederlassung von Trend Micro befindet sich in Garching bei München. In der Schweiz kümmert sich die Niederlassung in Wallisellen bei Zürich um die Belange des deutschsprachigen Landesteils, der französischsprachige Teil wird von Lausanne aus betreut; Sitz der österreichischen Vertretung ist Wien.
Proaktive Sicherheit beginnt hier. https://www.trendmicro.com/de_de/business.html