Konni-Hacker nutzen Messenger-Kontakte für Malware-Verbreitung

Nordkoreanische Cyberspione infiltrieren jetzt über kompromittierte KakaoTalk-Kontakte ihre Opfer. Eine neue Kampagne der Hackergruppe Konni nutzt gestohlene Zugänge des populären Messengers, um Schadsoftware im Namen vertrauenswürdiger Kontakte zu verbreiten. Diese Taktik markiert eine gefährliche Eskalation.

Vom gezielten Phishing zum Kontakt-Hijacking

Die Angriffskette beginnt klassisch, aber präzise: Mit spear-phishing E-Mails ködern die Angreifer ihre Ziele. Aktuell nutzen sie Themen wie nordkoreanische Menschenrechte als Köder – etwa eine gefälschte Ernennung zum „Menschenrechtsdozenten“. Das Anhang enthält einen schädlichen Windows-Verknüpfungsdatei.

Phishing-Angriffe werden immer raffinierter und nutzen gezielt das Vertrauen in bekannte Kontakte aus. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihr Unternehmen wirksam vor modernen Hacker-Methoden schützen. Kostenloses Anti-Phishing-Paket jetzt herunterladen

Klickt das Opfer darauf, wird im Hintergrund ein PowerShell-Skript ausgeführt. Dieses lädt weitere Werkzeuge herunter, darunter einen legitimen AutoIt-Interpreter und bösartige Skripte. Oft öffnet sich parallel ein harmloses PDF-Dokument als Ablenkung. Die Verbindung zu einem Command-and-Control-Server der Angreifer ist damit hergestellt.

Die neue Waffe: Vertrauen im Messenger

Nach der Erstinfiltration zeigt die Konni-Gruppe Geduld. Sie verbleibt oft wochenlang unentdeckt im System, stiehlt Dokumente, Zugangsdaten und Systeminformationen. Die eigentliche Innovation folgt dann: Der Missbrauch des KakaoTalk-PC-Clients.

Die Hacker greifen auf den bereits geöffneten Messenger des Opfers zu. Sie wählen gezielt Kontakte aus der Liste aus und versenden – im Namen des infizierten Nutzers – Malware-Dateien. Diese tarnen sie als relevante Dokumente, etwa einen „Plan für nordkorea-bezogene Videoinhalte“. Die Nachricht kommt somit aus einer vertrauten, aktiven Sitzung – ein Alarmsignal für viele Sicherheitssysteme.

Taktischer Wandel mit gefährlichen Folgen

Dieser Schritt vom reinen Ausspähen zur aktiven Verbreitung über kompromittierte Kontakte ist neu für Konni. Die Gruppe, die mit anderen nordkoreanischen Hackerkollektiven wie Kimsuky in Verbindung steht, zeigt damit eine beunruhigende Anpassungsfähigkeit.

Da 73 % der deutschen Unternehmen unzureichend auf solche komplexen Cyberangriffe vorbereitet sind, ist proaktives Handeln für Geschäftsführer und IT-Verantwortliche unerlässlich. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken und den neuesten gesetzlichen Anforderungen gerecht werden. Gratis E-Book: Cyber Security Trends 2024 sichern

„Der Angriff kombiniert vertrauensbasierte Social Engineering mit dem Missbrauch aktiver Sitzungen“, analysieren Sicherheitsexperten. „Das macht ihn besonders tückisch.“ Die eingesetzten Schadprogramme – darunter die Remote-Access-Trojaner EndRAT, RftRAT und RemcosRAT – geben den Angreifern umfassende Kontrolle über die Systeme.

Was bedeutet das für die Verteidigung?

Die Kampagne zeigt: Herkömmliche E-Mail-Filter reichen nicht mehr aus. Da Bedrohungsakteure zunehmend vertrauenswürdige Anwendungen missbrauchen, ist ein mehrschichtiger Sicherheitsansatz nötig.

Experten empfehlen:
* Intensivierte Sensibilisierung: Nutzer müssen lernen, auch Nachrichten von bekannten Kontakten kritisch zu hinterfragen.
* Endpoint Detection and Response (EDR): Lösungen, die ungewöhnliches Anwendungsverhalten – wie Skriptzugriffe auf Messenger-Clients – erkennen.
* Grundhygiene: Multi-Faktor-Authentifizierung nutzen und die automatische Passwortspeicherung im Browser deaktivieren.

Die Entwicklung bei Konni ist ein deutliches Signal: Die Cyber-Bedrohungslandschaft verändert sich ständig. Die Verteidigung muss Schritt halten.

boerse | 68697699 |