Slow Fog Cosine : Confirmé que l'incident de vol de CEX a été perpétré par le groupe de hackers nord-coréen Lazarus, leur méthode d'attaque a été révélée

Le fondateur de SlowMist, Yu Cosine, a publié sur les réseaux sociaux en déclarant qu'à travers l'analyse des preuves et le suivi associé, nous avons confirmé que l'attaquant dans l'incident de vol de CEX est en effet l'organisation de hackers nord-coréenne Lazarus Group. Il s'agit d'une attaque APT de niveau étatique ciblant les plateformes de trading de cryptomonnaies. Nous avons décidé de partager les IOCs (Indicateurs de Compromission) associés, qui incluent certains fournisseurs de services cloud et proxys dont les IP ont été exploitées. Il convient de noter que cette divulgation ne précise pas quelle ou quelles plateformes sont impliquées, ni ne mentionne spécifiquement CEX ; s'il y a des similitudes, ce n'est pas impossible.

Les attaquants ont utilisé pyyaml pour l'exécution de code à distance (RCE) afin de livrer du code malveillant et ainsi contrôler les ordinateurs et serveurs cibles. Cette méthode contourne la plupart des analyses des logiciels antivirus. Après avoir synchronisé les renseignements avec des partenaires, plusieurs échantillons malveillants similaires ont été obtenus. L'objectif principal des attaquants est de prendre le contrôle des portefeuilles en envahissant l'infrastructure des plateformes de trading de cryptomonnaies, puis de transférer illégalement de grandes quantités d'actifs cryptés depuis ces portefeuilles.

SlowMist a publié un article récapitulatif révélant les méthodes d'attaque du Lazarus Group et a analysé leur utilisation de tactiques telles que l'ingénierie sociale, l'exploitation de vulnérabilités, l'escalade de privilèges, la pénétration de réseaux internes et le transfert de fonds, etc. En même temps, sur la base de cas réels, ils ont résumé des suggestions défensives contre les attaques APT, espérant fournir des références pour l'industrie, aidant plus d'organisations à renforcer leurs capacités de protection de la sécurité et à réduire les impacts potentiels des menaces.