Iată cum hackerii nord-coreeni din spatele furtului Bybit de 1,4 miliarde de dolari lovesc dezvoltatorii cripto

Un grup de hacking din Coreea de Nord a vizat dezvoltatorii de criptomonede printr-o nouă escrocherie de recrutare care injectează malware de furt de informații în sistemul victimei.

Potrivit unui raport recent al firmei de securitate cibernetică Palo Alto Networks, Unit 42, grupul nefast de hacking, cunoscut prin pseudonime precum Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor sau UNC4899, s-a pozat drept recrutori pe LinkedIn.

Odată ce contactul este luat, dezvoltatorii sunt atrași cu oferte de locuri de muncă false, urmate de un test de codare aparent de rutină.

Dar ascuns în aceste proiecte găzduite de GitHub este un set de instrumente malware de furt care infectează în liniște mașina victimei.

Inițial, candidaților li se cere să ruleze un fișier care arată de obicei ca o simplă sarcină de programare, dar odată executat pe sistemul victimei, rulează un malware numit RN Loader care trimite informațiile de sistem înapoi către atacator.

Dacă ținta se verifică, este implementată o încărcătură utilă din a doua etapă, RN Stealer, care poate colecta totul, de la cheile SSH și datele iCloud până la fișierele de configurare Kubernetes și AWS.

Ceea ce face ca această campanie să fie deosebit de periculoasă este natura sa ascunsă, deoarece malware-ul se activează doar în anumite condiții, cum ar fi adresa IP sau setările sistemului, ceea ce face mai greu de detectat de către cercetători.

De asemenea, rulează în întregime în memorie, lăsând foarte puțină amprentă digitală.

Slow Pisces a fost legat de furturi de mare profil, inclusiv exploatarea Bybit de 1,4 miliarde de dolari la începutul acestui an.

Tacticile grupului nu s-au schimbat prea mult de-a lungul timpului, ceea ce Unitatea 42 spune că se poate datora cât de reușite și direcționate sunt metodele lor.

„Înainte de hack-ul Bybit, existau foarte puține cunoștințe și raportări detaliate ale campaniei în sursă deschisă și, prin urmare, este posibil ca actorii amenințărilor să nu fi simțit nevoia să se schimbe”, potrivit Andy Piazza, director senior al Threat Intelligence la Unitatea 42.

Mai degrabă, actorii amenințărilor și-au îmbunătățit chiar și securitatea operațională, potrivit cercetătorilor, și au fost văzuți folosind trucuri de modelare YAML și JavaScript pentru a ascunde comenzile rău intenționate.

„Concentrarea asupra persoanelor contactate prin LinkedIn, spre deosebire de campaniile ample de phishing, permite grupului să controleze cu strictețe etapele ulterioare ale campaniei și să livreze sarcini utile doar victimelor așteptate”, a adăugat cercetătorul în securitate Prashil Pattni.

Hackerii nord-coreeni vizează profesioniștii IT

Grupurile de hacking din Coreea de Nord au fost responsabile pentru unele dintre cele mai mari furturi cibernetice din sectorul cripto.

Datele de la Arkham Intelligence arată că un portofel legat de grupul Lazarus din Coreea de Nord deținea Bitcoin în valoare de peste 800 de milioane de dolari în momentul raportării.

Un raport de la Google Threat Intelligence Group publicat la începutul acestei luni a remarcat o creștere a numărului de lucrători nord-coreeni din IT care se infiltrează în firmele de tehnologie și cripto, în special în toată Europa.

Anul trecut, Invezz a raportat că două grupuri de hacking cu pseudonimele Sapphire Sleet și Ruby Sleet au fost responsabile pentru pierderi semnificative în spațiul cripto.

S-a constatat că actorii răi se uzurmără pe recrutori, investitori și chiar angajați ai companiilor vizate pentru a trece peste verificările inițiale de securitate și a instala malware.

Sapphire Sleet s-a concentrat în mare măsură pe firmele cripto și ar fi reușit să canalizeze cel puțin 10 milioane de dolari înapoi către regimul nord-coreean în decurs de șase luni.