Nordkorea-verwandte UNC1069 hackt Krypto-Profis mit gefälschten Zoom- und Teams-Meetings

Eine nordkoreanische Bedrohungsgruppe namens UNC1069 betreibt eine ausgeklügelte Kampagne, bei der sie Kryptowährungs- und Web3-Fachleute dazu verleitet, an gefälschten Online-Meetings teilzunehmen, um anschließend ihre Eine nordkoreanische Bedrohungsgruppe namens UNC1069 betreibt eine ausgeklügelte Kampagne, bei der sie Kryptowährungs- und Web3-Fachleute dazu verleitet, an gefälschten Online-Meetings teilzunehmen, um anschließend ihre Computer mit Malware zu infizieren, die zum Stehlen digitaler Vermögenswerte dient.

Die Gruppe gibt sich als Risikokapitalfirmen aus, die nach Investitionspartnerschaften suchen, und baut das Vertrauen der Ziele im Laufe der Zeit auf, bevor sie über gefälschte Videokonferenzplattformen bösartige Nutzlasten liefern.

Diese Operation ist finanziell motiviert und wird vermutet, dass sie die Raketen-, Nuklear- und Spionageprogramme Nordkoreas direkt unterstützt. Die Angreifer nehmen zuerst über LinkedIn und Telegram Kontakt auf und nutzen manchmal zuvor kompromittierte Konten, um glaubwürdiger zu erscheinen.

Anschließend teilen sie über Calendly Terminlinks, um Treffen auf gefälschten Plattformen zu vereinbaren, die das Aussehen und Gefühl von Zoom, Google Meet und Microsoft Teams sehr genau kopieren.

Die gefälschten Meeting-Umgebungen sind überzeugend genug, um die Live-Teilnahme der Angreifer selbst einzubeziehen, und in einigen Fällen wird Deepfake-Videoaufnahmen realer Führungskräfte verwendet, um Vertrauen aufzubauen, bevor der Angriff durchgeführt wird.