- UNC4899 täuschte einen Entwickler über AirDrop, wechselte in die Cloud und stahl Millionen an Kryptowährungen.
- Hacker nutzten Kubernetes aus, veränderten MFA-Einstellungen und griffen auf sensible Datenbanken zu, um digitale Vermögenswerte zu stehlen.
- Mit Nordkorea verbundene Gruppen nutzen zunehmend KI-Malware und gefälschte Freelancer, um Blockchain-Entwickler ins Visier zu nehmen.
Ein nordkoreanischer Bedrohungsakteur, UNC4899, startete 2025 einen ausgeklügelten Angriff auf ein Kryptounternehmen und stahl Millionen an digitalen Vermögenswerten. Die Hacker haben einen Entwickler dazu gebracht, im Rahmen einer Open-Source-Zusammenarbeit ein scheinbar legitimes Archiv herunterzuladen.
Der Entwickler hat es mit AirDrop auf ein Firmengerät übertragen . Infolgedessen führte der eingebettete bösartige Python-Code eine Binärform aus, die sich als Kubernetes-Kommandozeilen-Tool ausgab. Diese Hintertür ermöglichte es Angreifern, in die Cloud zu wechseln, Zugangsdaten zu sammeln und kritische Infrastruktur zu manipulieren.
Google Cloud beschrieb den Angriff als eine Mischung aus „Social Engineering, der Ausnutzung von Peer-to-Peer-Datenübertragungsmechanismen von persönlich-zu-Unternehmensgeräten, Arbeitsabläufen und letztendlicher Umstellung auf die Cloud, um Living-off-the-Cloud-(LOTC)-Techniken einzusetzen.“
Cloud-Angreifer entziehen Krypto über Kubernetes
Sobald UNC4899 im System waren, untersuchten sie die Kubernetes-Einrichtung des Unternehmens und nutzten gestohlene Service-Kontotoken, um Zugang auf höherer Ebene zu erhalten. Sie haben sogar die Multi-Faktor-Authentifizierungseinstellungen geändert, um den Zugang zu erleichtern. Die Hacker erreichten dann sensible Bereiche des Systems, die Netzwerkkontrollen und Kundeninformationen verwalteten, einschließlich Kryptowährungs-Wallets.
Anschließend griffen sie die Datenbank-Login-Daten ab, die unsicher im System gespeichert waren, griffen auf die Produktionsdatenbank auf und nahmen Änderungen an Benutzerkonten vor. Dazu gehörte das Zurücksetzen von Passwörtern und das Aktualisieren von MFA-Codes für hochwertige Konten. Am Ende konnten die Angreifer mehrere Millionen Dollar in digitaler Währung abheben.
UNC4899 steuerte auch die automatisierten Entwicklungsprozesse des Unternehmens darauf ab, in der Cloud verborgen zu bleiben. Sie haben Befehle in Kubernetes-Deployments eingepflanzt, sodass jedes Mal, wenn ein neuer Pod startet, automatisch eine Backdoor heruntergeladen wurde.
Google schlägt vor, dass Unternehmen Cloud-Umgebungen strikt getrennt halten, das Peer-to-Peer-Dateisharing einschränken und auf ungewöhnliche Aktivitäten in Containern achten. Darüber hinaus sollten Organisationen phishing-resistente Multi-Faktor-Authentifizierung und ein starkes Geheimnismanagement einsetzen, um das Risiko eines Datenvorfalls zu verringern.
Umfassendere nordkoreanische Cyberaktivitäten
Andere nordkoreanische Gruppen, wie Konni, nutzen KI-generierte Malware mit Hilfe von PowerShell, um Blockchain-Entwickler ins Visier zu nehmen. Diese Angreifer senden bösartige Discord-Nachrichten mit Malware, die Geld und Daten stehlen kann.
Berichten zufolge gingen allein 2025 über 16,5 Millionen Dollar an nordkoreanische IT-Mitarbeiter, die sich als legitime Freiberufler ausgaben. Dies zeigt, wie riskant Einstellungspraktiken sein können, und unterstreicht die Notwendigkeit für stärkere Hintergrundüberprüfungen und ein besseres Bewusstsein für Cybersicherheit.
Verwandt: US-Justizministerium wird Tornado Cash-Mitbegründer Roman Storm diesen Herbst erneut anklagen
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
