Beobachtungen
Die nordkoreanische, staatlich gesteuerte Lazarus-Gruppe setzt ein neu identifiziertes, modulares macOS-Schadprogramm namens „Mach-O Man" ein, das auf
Führungskräfte aus dem Fintech- und Kryptowährungssektor sowie auf hochwertige Unternehmensanwender abzielt. Die Kampagne
ist bemerkenswert, da sie keine technische Schwachstelle ausnutzt, sondern ausschließlich auf einem social-engineering-basierten
Täuschungsmanöver basiert, das die Nutzung gängiger Videokonferenzlösungen imitiert. Seit 2017 hat die Lazarus-Gruppe
schätzungsweise 6,7 Milliarden US-Dollar in Kryptowährungen entwendet; allein aus jüngsten Operationen wurden über 500
Millionen US-Dollar dieser Gruppe zugeordnet. Ein einzelnes kompromittiertes macOS-Gerät in einem Fintech- oder
Kryptowährungsumfeld kann vollständigen Zugriff auf Produktionsinfrastrukturen, SaaS-Plattformen und digitale Asset-Wallets
ermöglichen.
Methoden
Der Angriff beginnt mit einer als ClickFix bekannten Social-Engineering-Technik. Zielpersonen erhalten über Telegram eine dringlich
formulierte Nachricht, die eine scheinbar legitime Einladung zu einer Videokonferenz enthält. Der enthaltene Link leitet auf eine
gefälschte Kollaborationsplattform um, etwa update-teams[.]live oder livemicrosft[.]com, die einen simulierten Verbindungsfehler
anzeigt und den Nutzer zur Ausführung eines Terminalbefehls auffordert. Dieser einzelne Befehl löst die vollständige,
vierstufige Infektionskette aus.
Das als Go-Binary kompilierte Schadprogramm ist nativ sowohl auf Intel- als auch auf Apple-Silicon-Architekturen lauffähig. In Phase 1 lädt der Stager (teamsSDK.bin) ein gefälschtes Applikationspaket herunter, versieht es mit einer Ad-hoc-Codesignatur zur Umgehung von macOS-Ausführungskontrollen und erfasst das Passwort des Opfers mittels simulierter Authentifizierungsfehler (T1056, T1553). Phase 2 registriert den Host am C2-Server und erhebt ein umfassendes Systemprofil inklusive installierter Browser-Erweiterungen über alle gängigen Browser (T1082, T1518.001). Phase 3 stellt Persistenz her, indem ein als OneDrive getarntes Binary in einem Ordner namens „Antivirus Service" abgelegt und ein LaunchAgent installiert wird (T1543.001, T1036.005). Phase 4 exfiltriert Browser-Zugangsdaten, Session-Cookies und macOS-Keychain-Einträge als gebündeltes Archiv über den Telegram-Bot-API-Kanal (T1567), bevor ein Selbstlöschskript alle Komponenten entfernt. Die Nutzung eines legitimen Cloud-Dienstes als Exfiltrationskanal erschwert die netzwerkseitige Erkennung erheblich. Trotz des hohen technischen Reifegrads wurde der Telegram-Bot-Token im Schadcode offengelegt, was Dritten ermöglicht, Bot-Nachrichten einzusehen und Takedown-Maßnahmen zu unterstützen.
Attribution
Die Kampagne wird der Chollima-Division der Lazarus-Gruppe zugeordnet, einem nordkoreanischen, staatlich gesteuerten Bedrohungsakteur.
Diese Zuordnung stützt sich auf die Nutzung von ClickFix-Lures über Telegram, die gezielte Ausrichtung auf den
Kryptowährungssektor sowie die technische Signatur des modular aufgebauten Go-kompilierten macOS-Kits, Merkmale, die mit früheren
dokumentierten Lazarus-Kampagnen übereinstimmen.
Die Taktiken weisen Parallelen zur seit ca. 2020 beobachteten und nach wie vor aktiven Operation Dream Job auf. Beide Kampagnen nutzen impersonierte, vertrauenswürdige Kommunikationskanäle als Initialvektor ohne technische Exploits, zielen auf hochrangige Einzelpersonen im Fintech- und Kryptowährungsumfeld und verfolgen dasselbe strategische Ziel der Devisenbeschaffung für das nordkoreanische Regime.
Handlungsempfehlungen
Organisationen im Fintech-, Web3- und Kryptowährungsumfeld sollten LaunchAgents umgehend auf als OneDrive oder „Antivirus
Service" getarnte Einträge prüfen sowie plattformübergreifende Sandboxing-Lösungen zur Analyse nativer Mach-O-Binaries
einsetzen. Führungskräfte mit Zugriff auf digitale Assets sind gezielt für ClickFix-Szenarien zu sensibilisieren. Jede
unerwartete Aufforderung zur Terminaleingabe im Kontext eines Videokonferenz-Workflows ist als Hochrisikosignal zu behandeln. Angesichts
der Parallelen zu Operation Dream Job sollten Awareness-Maßnahmen zudem gefälschte Jobangebote und berufliche Kontaktaufnahmen
über soziale Netzwerke einschließen. Ausgehende Verbindungen zur Telegram-Bot-API sind netzwerkseitig zu überwachen. Die
Domains update-teams[.]live und livemicrosft[.]com sind in Perimeterschutzsystemen zu hinterlegen.