Slow Fog Cosine: Підтверджено, що інцидент крадіжки на CEX був атакою північнокорейської хакерської групи Lazarus, їхній метод атаки було розкрито

Засновник SlowMist, Ю Косайн, опублікував у соціальних мережах заяву, що через аналіз доказів та пов'язане відстеження ми підтвердили, що нападник у випадку крадіжки на CEX дійсно є північнокорейською хакерською організацією Lazarus Group. Це атака APT на державному рівні, спрямована на платформи для торгівлі криптовалютою. Ми вирішили поділитися пов'язаними IOC (Індикаторами компрометації), які включають деяких постачальників хмарних послуг та проксі, IP яких були використані. Слід зазначити, що це розкриття не вказує, яка платформа або платформи залучені, і не згадує CEX конкретно; якщо є схожість, це не виключено.

Нападники використовували pyyaml для RCE (Виконання коду на відстані) для доставки шкідливого коду і таким чином контролювали цільові комп'ютери та сервери. Цей метод обходить більшість антивірусних сканувань. Після синхронізації розвідки з партнерами було отримано кілька подібних шкідливих зразків. Основна мета нападників - отримати контроль над гаманцями, вторгнувшись в інфраструктуру платформ для торгівлі криптовалютою, а потім незаконно перевести великі суми зашифрованих активів з цих гаманців.

SlowMist опублікував підсумкову статтю, що розкриває методи атаки Lazarus Group, і проаналізував їх використання тактик, таких як соціальна інженерія, експлуатація вразливостей, підвищення привілеїв, проникнення у внутрішню мережу та переведення коштів тощо. Водночас, на основі реальних випадків, вони підсумували захисні рекомендації проти APT-атак, сподіваючись надати посилання для галузі, допомагаючи більше організаціям підвищити можливості захисту безпеки, зменшуючи потенційні загрози.