Slow Fog Cosine: Подтверждено, что инцидент с кражей на CEX был атакован северокорейской хакерской группой Lazarus, их метод атаки был раскрыт

Основатель SlowMist, Ю Косин, опубликовал в социальных сетях заявление о том, что через анализ доказательств и сопутствующее отслеживание мы подтвердили, что злоумышленник в инциденте с кражей на CEX действительно является северокорейской хакерской организацией Lazarus Group. Это атака уровня государства APT, нацеленная на платформы для торговли криптовалютой. Мы решили поделиться связанными IOC (Индикаторами компрометации), которые включают некоторых облачных провайдеров и прокси, чьи IP-адреса были использованы. Следует отметить, что это раскрытие не уточняет, какая платформа или платформы вовлечены, и не упоминает CEX конкретно; если есть сходства, это не исключено.

Злоумышленники использовали pyyaml для RCE (Удаленное выполнение кода) для доставки вредоносного кода и, таким образом, контроля целевых компьютеров и серверов. Этот метод обходит большинство антивирусных сканирований. После синхронизации разведданных с партнерами было получено множество аналогичных вредоносных образцов. Основная цель злоумышленников — получить контроль над кошельками, вторгаясь в инфраструктуру платформ для торговли криптовалютой, а затем незаконно переводить большие суммы зашифрованных активов из этих кошельков.

SlowMist опубликовал обзорную статью, раскрывающую методы атаки Lazarus Group и проанализировал их использование таких тактик, как социальная инженерия, эксплуатация уязвимостей, повышение привилегий, проникновение во внутренние сети и перевод средств и т.д. В то же время, на основе реальных случаев, они обобщили защитные рекомендации против APT-атак, надеясь предоставить ссылки для отрасли, помогая большему количеству организаций повысить возможности защиты безопасности, снижая потенциальные угрозы.