Slow Fog Cosine: Confirmado que el incidente de robo en CEX fue perpetrado por el grupo de hackers norcoreanos Lazarus, su método de ataque ha sido revelado

El fundador de SlowMist, Yu Cosine, publicó en las redes sociales afirmando que, a través del análisis de evidencias y el seguimiento asociado, hemos confirmado que el atacante en el incidente de robo de CEX es, de hecho, la organización de hackers norcoreana Lazarus Group. Este es un ataque APT a nivel estatal dirigido a plataformas de comercio de criptomonedas. Decidimos compartir IOCs (Indicadores de Compromiso) relacionados, que incluyen algunos proveedores de servicios en la nube y proxies cuyos IPs fueron explotados. Cabe señalar que esta divulgación no especifica qué plataforma o plataformas están involucradas, ni menciona específicamente a CEX; si hay similitudes, no es imposible.

Los atacantes utilizaron pyyaml para RCE (Ejecución Remota de Código) para entregar código malicioso y así controlar computadoras y servidores objetivo. Este método evade la mayoría de los escaneos de software antivirus. Después de sincronizar la inteligencia con socios, se obtuvieron múltiples muestras maliciosas similares. El objetivo principal de los atacantes es obtener control sobre las billeteras invadiendo la infraestructura de las plataformas de comercio de criptomonedas y luego transferir ilegalmente grandes cantidades de activos cifrados desde estas billeteras.

SlowMist publicó un artículo resumen revelando los métodos de ataque del Lazarus Group y analizó su uso de tácticas como ingeniería social, explotación de vulnerabilidades, escalada de privilegios, penetración de redes internas y transferencia de fondos, etc. Al mismo tiempo, basándose en casos reales, resumieron sugerencias defensivas contra ataques APT con la esperanza de proporcionar referencias para la industria, ayudando a más organizaciones a mejorar las capacidades de protección de seguridad y reducir los impactos potenciales de amenazas.