Microsoft warnt: Nordkoreanische Hacker setzen auf KI-gestützte Cyberspionage

Microsoft hat aufgedeckt, dass mit Nordkorea verbundene, staatlich geförderte Cyber-Akteure begonnen haben, künstliche Intelligenz (KI) zu nutzen, um ihre Operationen effektiver und effizienter zu gestalten.

"Sie lernen, Tools zu nutzen, die von KI-Language-Modellen (LLM) gestützt werden, um ihre Operationen effizienter und effektiver zu gestalten", so der Technologiekonzern in seinem jüngsten Bericht über ostasiatische Hackergruppen.

Das Unternehmen wies insbesondere auf eine Gruppe namens Emerald Sleet (auch bekannt als Kimusky oder TA427) hin, die LLMs zur Unterstützung von Spear-Phishing-Maßnahmen gegen Experten auf der koreanischen Halbinsel eingesetzt haben soll.

Der Angreifer soll sich auch auf die neuesten Entwicklungen im Bereich der künstlichen Intelligenz verlassen haben, um Schwachstellen zu recherchieren und Organisationen und Experten, die sich auf Nordkorea konzentrieren, auszuspionieren, und sich damit den Hackern aus China angeschlossen haben, die KI-generierte Inhalte für ihre Beeinflussungsaktionen nutzen.

Cybersecurity

Darüber hinaus wurden LLMs eingesetzt, um technische Probleme zu beheben, grundlegende Skriptaufgaben auszuführen und Inhalte für Spear-Phishing-Nachrichten zu verfassen, berichtet der Redmonder Konzern und fügt hinzu, dass er mit OpenAI zusammengearbeitet hat, um Konten und Anlagen, die mit dem Bedrohungsakteur in Verbindung stehen, zu deaktivieren.

Laut einem Bericht, der letzte Woche von der Sicherheitsfirma Proofpoint veröffentlicht wurde, führt die Gruppe " harmlose Gesprächsanbahnungskampagnen durch, um mit Zielpersonen in Kontakt zu treten und langfristige Informationen über Themen auszutauschen, die für das nordkoreanische Regime von strategischer Bedeutung sind".

Der Modus Operandi von Kimsuky beinhaltet die Nutzung von Think Tanks und Nichtregierungsorganisationen, um seine E-Mails zu legitimieren und die Erfolgswahrscheinlichkeit des Angriffs zu erhöhen.

In den letzten Monaten hat der nationalstaatliche Akteur jedoch begonnen, laxe DMARC-Richtlinien (Domain-based Message Authentication, Reporting, and Conformance) zu missbrauchen, um verschiedene Personas zu fälschen und Web-Beacons (d. h. Zählpixel) für die Erstellung von Zielprofilen einzubauen, was auf seine "Flexibilität bei der Anpassung der Taktik" hinweist.

Die Web Beacons sind wahrscheinlich als anfängliche Erkundung gedacht, um zu überprüfen, ob die Ziel-E-Mails aktiv sind, und um grundlegende Informationen über die Netzwerkumgebungen der Empfänger zu erhalten, einschließlich der nach außen sichtbaren IP-Adressen, des User-Agents des Hosts und des Zeitpunkts, zu dem der Benutzer die E-Mail geöffnet hat.

Die Entwicklung kommt zu einem Zeitpunkt, an dem nordkoreanische Hackergruppen weiterhin Kryptowährungsdiebstähle und Angriffe auf die Lieferkette durchführen. Ein Bedrohungsakteur mit dem Namen Jade Sleet wird mit dem Diebstahl von mindestens 35 Millionen US-Dollar von einer estnischen Kryptofirma im Juni 2023 und über 125 Millionen US-Dollar von einer in Singapur ansässigen Kryptowährungsplattform einen Monat später in Verbindung gebracht.

Jade Sleet, der sich mit Clustern überschneidet, die als TraderTraitor und UNC4899 verfolgt werden, wurde im August 2023 auch bei Angriffen auf Online-Kryptowährungskasinos beobachtet, ganz zu schweigen von der Nutzung gefälschter GitHub-Repos und waffenfähiger npm-Pakete, um Mitarbeiter von Kryptowährungs- und Technologieunternehmen auszusondern.

In einem anderen Fall wurde ein in Deutschland ansässiges IT-Unternehmen im August 2023 von Diamond Sleet (auch bekannt als Lazarus Group) kompromittiert und eine Anwendung eines in Taiwan ansässigen IT-Unternehmens als Waffe eingesetzt, um im November 2023 einen Angriff auf die Lieferkette durchzuführen.

Dies dient wahrscheinlich dazu, Einnahmen zu generieren, vor allem für ihr Waffenprogramm, zusätzlich zum Sammeln von Informationen über die Vereinigten Staaten, Südkorea und Japan.

Die Lazarus Group ist auch dafür bekannt, dass sie komplizierte Methoden wie Windows Phantom DLL Hijacking und Transparency, Consent, and Control (TCC) Datenbankmanipulationen in Windows und macOS einsetzt, um Sicherheitsvorkehrungen zu unterlaufen und Malware zu verbreiten, was zu ihrer Raffinesse und Schwerfälligkeit beiträgt, so Interpres Security.

Die Ergebnisse wurden vor dem Hintergrund einer neuen Kampagne der Gruppe Konni (auch bekannt als Vedalia) gewonnen, die Windows-Verknüpfungsdateien (LNK) nutzt, um bösartige Nutzdaten zu übertragen.