Japanske i američke vlasti su ranije pripisivale krađu kriptovalute u vrijednosti od 308 miliona dolara od kompanije za kriptovalute DMM Bitcoin u maju 2024. sjevernokorejskim cyber hakerima.
“Krađa je povezana s aktivnostima prijetnji TraderTraitor, koje se takođe prate kao Jade Sleet, UNC4899 i Slow Pisces”, navode agencije . „Aktivnost TraderTraitor-a često karakteriše ciljani društveni inženjering usmjeren na više zaposlenih u istoj kompaniji istovremeno.”
Upozorenje je stiglo ljubaznošću američkog Federalnog istražnog biroa (FBI), Centra za cyber kriminal Ministarstva odbrane i Nacionalne policijske agencije Japana. Vrijedi napomenuti da je DMM Bitcoin prekinuo svoje operacije ranije ovog mjeseca nakon hakovanja.
TraderTraitor se odnosi na klaster trajnih prijetnji povezan sa Sjevernom Korejom koji ima historiju ciljanja na kompanije u Web3 sektoru, mame žrtve da preuzmu aplikacije za kriptovalute sa maliciozni softverom i na kraju olakšavaju krađu. Poznato je da je aktivan najmanje od 2020.
Posljednjih godina, hakerska ekipa je organizirala niz napada koji koriste kampanje društvenog inženjeringa s temom posla ili dopiru do potencijalnih ciljeva pod izgovorom suradnje na GitHub projektu, što zatim dovodi do postavljanja maliciozni npm paketa.
Grupa je, međutim, možda najpoznatija po infiltriranju i sticanju neovlaštenog pristupa JumpCloud-ovim sistemima kako bi ciljala mali niz korisnika na nižem toku prošle godine.
Lanac napada koji je dokumentovao FBI ne razlikuje se po tome što su hakeri kontaktirali zaposlenog u japanskoj kompaniji za softver za novčanike za kriptovalute po imenu Ginco u martu 2024., predstavljajući se kao regruter i šaljući im URL na maliciozni Python skriptu hostiranu na GitHubu. kao dio navodnog testa prije zapošljavanja.
Žrtva, koja je imala pristup Gincovom sistemu za upravljanje novčanikom, naknadno je kompromitovana nakon što su kopirali Python kod na svoju ličnu GitHub stranicu.
Protivnik je prešao na sljedeću fazu napada sredinom maja 2024. godine kada je iskoristio informacije kolačića sesije da se lažno predstavlja kao kompromitovani zaposlenik i uspješno dobio pristup Gincovom nešifriranom komunikacijskom sistemu.
“Krajem maja 2024. hakeri su vjerovatno koristili ovaj pristup da manipulišu legitimnim zahtjevom za transakciju od strane zaposlenika DMM-a, što je rezultiralo gubitkom od 4.502,9 BTC-a, u vrijednosti od 308 miliona dolara u vrijeme napada”, navode agencije. “Ukradena sredstva su na kraju prešla u novčanike koje kontroliše TraderTraitor.”
Otkrivanje dolazi ubrzo nakon što je Chainalysis hakovanje DMM Bitcoina pripisao sjevernokorejskim prijetnjama, navodeći da su napadači ciljali ranjivosti u infrastrukturi kako bi izvršili neovlašteno povlačenje sredstava.
“Napadač je premjestio milione dolara vrijednu kriptovalutu iz DMM Bitcoin-a na nekoliko posredničkih adresa prije nego što je na kraju stigao do Bitcoin CoinJoin Mixing Service-a”, rekla je obavještajna firma za blokčejn .
„Nakon uspješnog miješanja ukradenih sredstava koristeći Bitcoin CoinJoin Mixing Service, napadači su premjestili dio sredstava preko brojnih servisa za premošćivanje, i konačno na HuiOne Guarantee , internetsko tržište povezano s kambodžanskim konglomeratom HuiOne Group, koje je ranije bilo razotkriven kao značajan igrač u omogućavanju cyber zločina.”
Razvoj takođe dolazi kada je AhnLab Security Intelligence Center (ASEC) otkrio da sjevernokorejski hakeri kodnog imena Andariel, pod-klaster unutar Lazarus Grupe, postavlja pozadinska vrata SmallTiger kao dio napada usmjerenih na upravljanje imovinom u Južnoj Koreji i rješenja za centralizaciju dokumenata. .
Izvor:The Hacker News
