Whitebird
Moderator
Dabei seit: 31.03.2009
Beiträge: 4.200
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
 |
|
| Berüchtigter Hacker fängt sich selbst Malware ein |
     |
Berüchtigter Hacker fängt sich selbst Malware ein
Ein am großen Bybit-Hack beteiligter nordkoreanischer Hacker hat sein eigenes System wohl versehentlich mit Malware infiziert. Nun ist mehr über ihn bekannt.
5. Dezember 2025 um 12:28 Uhr / Marc Stöckel
So manch einer kann sich vielleicht noch an den großen Bybit-Hack von Februar erinnern, bei dem Kryptos im Wert von rund 1,5 Milliarden US-Dollar von der Kryptobörse gestohlen wurden. Ein daran beteiligter Hacker scheint sich selbst eine Infostealer-Malware eingefangen zu haben. Das zeigen Daten der Sicherheitsforscher von Hudson Rock, die neben erbeuteten Systeminformationen auch Hinweise auf die Aktivitäten des Hackers liefern.
Laut einem Bericht der Forscher wurde das System des Cyberakteurs, der der nordkoreanischen Hackergruppe Lazarus zugeordnet wird, mit dem Infostealer LummaC2 infiziert. "Auch staatlich unterstützte Hacker machen Fehler. Und manchmal infizieren sie sich mit derselben Malware, die sie gegen andere einsetzen", erklären die Forscher diesbezüglich.
Die von dem Infostealer erbeuteten Daten liefern Anhaltspunkte dafür, dass der betroffene Hacker selbst Betreiber einer hoch entwickelten Malware-Entwicklungsplattform war. Eine von der Lumma-Malware abgegriffene E-Mail-Adresse (trevorgreer9312@gmail.com) wurde laut Hudson Rock verwendet, um wenige Stunden vor dem großen Bybit-Hack eine mit dem Vorfall verbundene Domain zu registrieren.
Hinter US-IP-Adresse versteckt
Hudson Rock hat anhand der Infostealer-Daten ein Profil vom System des nordkoreanischen Hackers erstellt. Darin ist etwa zu sehen, dass er als Entwicklungsplattform ein Windows-10-System mit 16 GByte Arbeitsspeicher und einer Intel-CPU des Typs i7-12700 genutzt hat. Auch Entwicklertools wie Visual Studio Professional 2019 und The Enigma Protector wurden auf dem System erkannt.
Der Hacker soll zudem den VPN-Dienst Astrill VPN verwendet haben, um seinen Datenverkehr über eine US-amerikanische IP-Adresse umzuleiten. Dass er Koreaner war, konnten die Forscher aber unter anderem anhand von Browserdaten nachvollziehen, die etwa Hinweise darauf lieferten, dass Webinhalte wiederholt auf Koreanisch übersetzt wurden.
Überdies soll der nordkoreanische Akteur Dienste wie Dropbox, Slack und Telegram verwendet haben, etwa um Daten von infiltrierten Systemen auszuleiten und Möglichkeiten zur Steuerung seiner Malware zu schaffen. Zudem fanden die Forscher Anhaltspunkte für die Registrierung mehrerer Domains, die wahrscheinlich für Phishing und die Verbreitung von Schadsoftware verwendet wurden.
quelle: golem.de
__________________
Der frühe Vogel trinkt 'n Korn??? 
 Grüße von Whitebird
|
|
Gestern, 14:29 |
|
|
