Slow Fog Cosine: Potwierdzono, że incydent kradzieży na CEX został przeprowadzony przez północnokoreańską grupę hakerów Lazarus, ujawniono ich metodę ataku

Założyciel SlowMist, Yu Cosine, opublikował na mediach społecznościowych informację, że poprzez analizę dowodów i powiązane śledzenie potwierdziliśmy, że atakujący w incydencie kradzieży CEX to rzeczywiście północnokoreańska grupa hakerska Lazarus Group. Jest to atak APT na poziomie państwowym, wymierzony w platformy handlu kryptowalutami. Zdecydowaliśmy się podzielić powiązanymi IOC (wskaźnikami naruszenia), które obejmują niektórych dostawców usług w chmurze i serwery proxy, których adresy IP zostały wykorzystane. Należy zauważyć, że to ujawnienie nie określa, która platforma lub platformy są zaangażowane, ani nie wspomina konkretnie o CEX; jeśli występują podobieństwa, nie jest to niemożliwe.

Atakujący użyli pyyaml do RCE (zdalne wykonanie kodu), aby dostarczyć złośliwy kod i tym samym kontrolować docelowe komputery i serwery. Ta metoda omija większość skanów oprogramowania antywirusowego. Po zsynchronizowaniu informacji z partnerami uzyskano wiele podobnych złośliwych próbek. Głównym celem atakujących jest przejęcie kontroli nad portfelami poprzez inwazję na infrastrukturę platform handlu kryptowalutami, a następnie nielegalne przenoszenie dużych ilości zaszyfrowanych aktywów z tych portfeli.

SlowMist opublikował artykuł podsumowujący, ujawniający metody ataku grupy Lazarus i analizujący ich wykorzystanie taktyk takich jak inżynieria społeczna, wykorzystanie luk, eskalacja uprawnień, penetracja sieci wewnętrznej i transfer funduszy itp. Jednocześnie na podstawie rzeczywistych przypadków podsumowali sugestie obronne przeciwko atakom APT, mając nadzieję dostarczyć odniesienia dla branży, pomagając większej liczbie organizacji w zwiększeniu zdolności ochrony bezpieczeństwa, zmniejszając potencjalne zagrożenia.