NACHO KÄSE

Die bekannteste Hacking-Gruppe aus Nordkorea heißt APT38 (Advanced Persistent Threat). Sie sind auch unter dem Pseudonym Lazarus bekannt und seit geraumer Zeit aktiv. Es ist bekannt, dass die APT38-Hacking-Gruppe für die nordkoreanische Regierung arbeitet, und ihre Bemühungen konzentrieren sich auf die weltweite Förderung der nordkoreanischen Interessen. Die meisten Hacking-Gruppen, die von Regierungen angeheuert werden, verhalten sich eher konservativ und stellen sicher, dass sie dem System des Ziels keinen unnötigen Schaden zufügen. Die APT38-Gruppe hat jedoch kein Interesse an solchen Vorsichtsmaßnahmen und kann manchmal ein infiltriertes System vollständig zerstören, was für sie nicht von Bedeutung ist. Einige der Mitglieder des APT38 werden sogar vom FBI der Vereinigten Staaten gesucht.

Übernimmt die Kommandozeile des Systems

Die NACHOCHEESE-Bedrohung ist Teil des APT38-Arsenals an Hacking-Tools. Auch wenn sie nicht zu den komplexesten Bedrohungen zählt, kann sie sich als entscheidendes Tool in einer Kampagne erweisen. Diese Malware ist ein Befehlszeilen-Hacking-Tool, das die APT38-Gruppe als Nutzlast der zweiten Stufe auf einem kompromittierten System installieren würde. Die NACHOCHEESE-Malware ermöglicht es den Angreifern, Remotebefehle auf dem angegriffenen Host auszuführen, indem sie die Kontrolle über die Befehlszeile des Systems übernehmen.

APT38 Versuche, Forscher auszutricksen

Ein interessantes Merkmal der NACHOCHEESE-Bedrohung ist, dass bestimmte Teile des Codes in sehr schlechtem Russisch geschrieben sind. Es ist wahrscheinlich, dass der APT38 versucht hat, Cybersicherheitsexperten zu verwirren und sie möglicherweise in die Irre zu führen, zu glauben, dass die NACHOCHEESE-Hintertür aus Russland und nicht aus Nordkorea stammt. Dies ist ein wiederkehrendes Thema, wenn es um vom APT38 verursachte Bedrohungen geht. In früheren Kampagnen haben Malware-Forscher Codezeilen entdeckt, die auf Chinesisch, Russisch und Iranisch geschrieben sind. Ein weiterer Trick, den der APT38 gerne verwendet, ist die Bereitstellung einer separaten, leicht erkennbaren Bedrohung auf dem infizierten Host. Dies kann dazu beitragen, dass die NACHOCHEESE länger unbemerkt bleibt.

Da der APT38 von der Regierung finanziert wird, wird seine Bedrohungsaktivität wahrscheinlich auch in Zukunft fortgesetzt, und wir werden wahrscheinlich weiterhin neue Bedrohungen durch diese berüchtigte Hacking-Gruppe sehen.