Oto jak północnokoreańscy hakerzy stojący za kradzieżą 1,4 miliarda dolarów z Bybit atakują twórców kryptowalut.

Północnokoreańska grupa hakerska atakuje twórców kryptowalut za pomocą nowego oszustwa rekrutacyjnego, które wstrzykuje do systemu ofiary złośliwe oprogramowanie kradnące informacje.

Według niedawnego raportu firmy Palo Alto Networks z działu cyberbezpieczeństwa Unit 42, złośliwa grupa hakerska, znana pod pseudonimami takimi jak Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor lub UNC4899, podszywała się pod rekruterów na LinkedIn.

Po nawiązaniu kontaktu, programiści są wabieni fałszywymi ofertami pracy, a następnie poddawani pozornie rutynowemu testowi kodowania.

Ale w tych projektach hostowanych na GitHubie ukryty jest zestaw narzędzi do kradzieży danych, który potajemnie infekuje komputer ofiary.

Początkowo kandydaci proszeni są o uruchomienie pliku, który zazwyczaj wygląda jak proste zadanie programistyczne, ale po uruchomieniu na systemie ofiary uruchamia złośliwe oprogramowanie o nazwie RN Loader, które wysyła informacje o systemie z powrotem do atakującego.

Jeśli cel zostanie zweryfikowany, wdrażany jest ładunek drugiego etapu, RN Stealer, który może przechwytywać wszystko, od kluczy SSH i danych iCloud po pliki konfiguracyjne Kubernetes i AWS.

To, co czyni tę kampanię szczególnie niebezpieczną, to jej podstępny charakter, ponieważ złośliwe oprogramowanie aktywuje się tylko w określonych warunkach, takich jak adres IP lub ustawienia systemowe, co utrudnia jego wykrycie przez badaczy.

Działa również całkowicie w pamięci, pozostawiając bardzo niewielki ślad cyfrowy.

Powolny Ryba (Slow Pisces) został powiązany z głośnymi kradzieżami, w tym z wykorzystaniem luki w systemie Bybit o wartości 1,4 miliarda dolarów na początku tego roku.

Taktyka grupy niewiele się zmieniła na przestrzeni czasu, co według Unit 42 może wynikać z tego, jak skuteczne i precyzyjnie ukierunkowane są jej metody.

„Przed atakiem na Bybit istniała bardzo niewielka szczegółowa świadomość i raportowanie o tej kampanii w otwartych źródłach, więc możliwe, że sprawcy ataku nie odczuwali potrzeby zmiany taktyki” – powiedział Andy Piazza, starszy dyrektor ds. analizy zagrożeń w Unit 42.

Według badaczy, sprawcy zagrożeń wręcz poprawili swoje bezpieczeństwo operacyjne i wykorzystywali sztuczki z szablonami YAML i JavaScript, aby ukryć złośliwe polecenia.

„Skupienie się na osobach kontaktowanych za pośrednictwem LinkedIn, w przeciwieństwie do szeroko zakrojonych kampanii phishingowych, pozwala grupie ściśle kontrolować późniejsze etapy kampanii i dostarczać ładunki tylko oczekiwanym ofiarom” – dodał badacz bezpieczeństwa Prashil Pattni.

Hakerzy z Korei Północnej atakują specjalistów IT.

Północnokoreańskie grupy hakerskie odpowiadają za niektóre z największych cybernetycznych kradzieży w sektorze kryptowalut.

Dane z Arkham Intelligence wskazują, że portfel powiązany z północnokoreańską grupą hakerską Lazarus Group posiadał w momencie publikacji ponad 800 milionów dolarów w Bitcoinach.

Raport Google Threat Intelligence Group opublikowany na początku tego miesiąca odnotował wzrost liczby północnokoreańskich pracowników IT infiltrujących firmy technologiczne i kryptowalutowe, szczególnie w Europie.

W ubiegłym roku Invezz donosił, że dwie grupy hakerskie o pseudonimach Sapphire Sleet i Ruby Sleet były odpowiedzialne za znaczne straty w przestrzeni kryptowalut.

Okazało się, że osoby o złych zamiarach podszywały się pod rekruterów, inwestorów, a nawet pracowników atakowanych firm, aby ominąć wstępne kontrole bezpieczeństwa i zainstalować złośliwe oprogramowanie.

Sapphire Sleet skupiała się głównie na firmach kryptowalutowych i podobno w ciągu sześciu miesięcy udało jej się przekazać reżimowi północnokoreańskiemu co najmniej 10 milionów dolarów.