Begini cara penggodam Korea Utara di sebalik rompakan Bybit $1.4b menyerang pembangun kripto

Kumpulan penggodam Korea Utara telah menyasarkan pembangun mata wang kripto melalui penipuan pengambilan pekerjaan baharu yang menyuntik perisian hasad mencuri maklumat ke dalam sistem mangsa.

Menurut laporan terbaru daripada firma keselamatan siber Unit 42 Palo Alto Networks, kumpulan penggodam jahat, yang dikenali melalui alias seperti Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor atau UNC4899, telah menyamar sebagai perekrut di LinkedIn.

Sebaik sahaja hubungan dibuat, pembangun terpikat dengan tawaran kerja palsu, diikuti dengan ujian pengekodan yang kelihatan seperti rutin.

Tetapi tersembunyi dalam projek yang dihoskan GitHub ini ialah kit alat perisian hasad pencuri yang secara senyap-senyap menjangkiti mesin mangsa.

Pada mulanya, calon diminta untuk menjalankan fail yang biasanya kelihatan seperti tugas pengaturcaraan yang mudah, tetapi setelah dilaksanakan pada sistem mangsa, ia menjalankan perisian hasad bernama RN Loader yang menghantar maklumat sistem kembali kepada penyerang.

Jika sasaran menyemak, muatan peringkat kedua, RN Stealer, digunakan, yang boleh mengumpul segala-galanya daripada kunci SSH dan data iCloud ke fail konfigurasi Kubernetes dan AWS.

Perkara yang menjadikan kempen ini sangat berbahaya ialah sifatnya yang tersembunyi, kerana perisian hasad hanya diaktifkan dalam keadaan tertentu, seperti alamat IP atau tetapan sistem, menjadikannya lebih sukar untuk dikesan oleh penyelidik.

Ia juga berjalan sepenuhnya dalam ingatan, meninggalkan jejak digital yang sangat sedikit.

Slow Pisces telah dikaitkan dengan kecurian berprofil tinggi, termasuk eksploitasi Bybit $1.4 bilion awal tahun ini.

Taktik kumpulan itu tidak banyak berubah dari semasa ke semasa, yang dikatakan oleh Unit 42 mungkin disebabkan oleh kejayaan dan sasaran kaedah mereka.

"Sebelum penggodaman Bybit, terdapat sedikit kesedaran terperinci dan pelaporan kempen dalam sumber terbuka, jadi kemungkinan pelaku ancaman tidak perlu berubah," menurut Andy Piazza, Pengarah Kanan Perisikan Ancaman di Unit 42.

Sebaliknya, pelaku ancaman malah meningkatkan keselamatan operasi mereka menurut penyelidik, dan dilihat menggunakan helah templat YAML dan JavaScript untuk menyembunyikan arahan berniat jahat.

"Memfokuskan pada individu yang dihubungi melalui LinkedIn, berbanding kempen pancingan data yang meluas, membolehkan kumpulan itu mengawal ketat peringkat akhir kempen dan menghantar muatan hanya kepada mangsa yang dijangkakan," tambah penyelidik keselamatan Prashil Pattni.

Penggodam Korea Utara menyasarkan profesional IT

Kumpulan penggodam Korea Utara telah bertanggungjawab untuk beberapa rompakan siber terbesar di seluruh sektor kripto.

Data daripada Arkham Intelligence menunjukkan bahawa dompet yang dikaitkan dengan Kumpulan Lazarus Korea Utara memegang lebih daripada $800 juta nilai Bitcoin pada masa pelaporan.

Laporan daripada Kumpulan Perisikan Ancaman Google yang dikeluarkan awal bulan ini mencatatkan lonjakan pekerja IT Korea Utara yang menyusup masuk ke dalam firma teknologi dan kripto, terutamanya di seluruh Eropah.

Tahun lepas, Invezz melaporkan bahawa dua kumpulan penggodaman dengan alias Sapphire Sleet dan Ruby Sleet bertanggungjawab untuk kerugian besar dalam ruang crypto.

Pelakon jahat didapati menyamar sebagai perekrut, pelabur dan juga pekerja syarikat yang disasarkan untuk melepasi pemeriksaan keselamatan awal dan menanam perisian hasad.

Sapphire Sleet banyak memberi tumpuan kepada firma kripto dan dilaporkan telah berjaya menyalurkan sekurang-kurangnya $10 juta kembali kepada rejim Korea Utara dalam tempoh enam bulan.