Slow Fog Cosine: Bestätigt, dass der CEX-Diebstahlvorfall von der nordkoreanischen Hackergruppe Lazarus angegriffen wurde, ihre Angriffsmethode wurde enthüllt

Der Gründer von SlowMist, Yu Cosine, veröffentlichte in den sozialen Medien, dass wir durch Beweisanalyse und zugehöriges Tracking bestätigt haben, dass der Angreifer im CEX-Diebstahlvorfall tatsächlich die nordkoreanische Hackerorganisation Lazarus Group ist. Dies ist ein staatlich geführter APT-Angriff, der auf Kryptowährungs-Handelsplattformen abzielt. Wir haben beschlossen, relevante IOCs (Indicators of Compromise) zu teilen, die einige Cloud-Dienstanbieter und Proxys umfassen, deren IPs ausgenutzt wurden. Es sollte beachtet werden, dass diese Offenlegung nicht spezifiziert, welche Plattform oder Plattformen beteiligt sind, noch wird CEX speziell erwähnt; wenn es Ähnlichkeiten gibt, ist es nicht unmöglich.

Die Angreifer nutzten pyyaml für RCE (Remote Code Execution), um bösartigen Code zu liefern und so Zielcomputer und -server zu kontrollieren. Diese Methode umgeht die meisten Antivirensoftware-Scans. Nach der Synchronisierung von Informationen mit Partnern wurden mehrere ähnliche bösartige Proben erhalten. Das Hauptziel der Angreifer ist es, die Kontrolle über Wallets zu erlangen, indem sie in die Infrastruktur von Kryptowährungs-Handelsplattformen eindringen und dann illegal große Mengen verschlüsselter Vermögenswerte aus diesen Wallets transferieren.

SlowMist veröffentlichte einen zusammenfassenden Artikel, der die Angriffsmethoden der Lazarus Group aufdeckt und ihre Nutzung von Taktiken wie Social Engineering, Ausnutzung von Schwachstellen, Privilegieneskalation, interne Netzwerkpenetration und Geldtransfer analysiert. Gleichzeitig fassten sie auf Basis tatsächlicher Fälle Abwehrvorschläge gegen APT-Angriffe zusammen, in der Hoffnung, der Branche Referenzen zu bieten, um mehr Organisationen dabei zu helfen, Sicherheitsfähigkeiten zu verbessern und potenzielle Bedrohungsauswirkungen zu reduzieren.