Slow Fog Cosine: Mengonfirmasi bahwa insiden pencurian CEX diserang oleh kelompok peretas Korea Utara Lazarus Group, metode serangan mereka telah terungkap

Pendiri SlowMist, Yu Cosine, memposting di media sosial menyatakan bahwa melalui analisis bukti dan pelacakan terkait, kami telah mengonfirmasi bahwa penyerang dalam insiden pencurian CEX memang adalah organisasi peretas Korea Utara, Lazarus Group. Ini adalah serangan APT tingkat negara yang menargetkan platform perdagangan cryptocurrency. Kami memutuskan untuk membagikan IOC (Indicators of Compromise) terkait, yang mencakup beberapa penyedia layanan cloud dan proxy yang IP-nya dieksploitasi. Perlu dicatat bahwa pengungkapan ini tidak menentukan platform atau platform mana yang terlibat, juga tidak menyebutkan CEX secara spesifik; jika ada kesamaan, itu tidak mustahil.

Para penyerang menggunakan pyyaml untuk RCE (Remote Code Execution) untuk mengirimkan kode berbahaya dan dengan demikian mengendalikan komputer dan server target. Metode ini melewati sebagian besar pemindaian perangkat lunak antivirus. Setelah menyinkronkan intelijen dengan mitra, beberapa sampel berbahaya serupa diperoleh. Tujuan utama para penyerang adalah untuk mendapatkan kendali atas dompet dengan menyerang infrastruktur platform perdagangan cryptocurrency dan kemudian mentransfer sejumlah besar aset terenkripsi secara ilegal dari dompet ini.

SlowMist menerbitkan artikel ringkasan yang mengungkapkan metode serangan Lazarus Group dan menganalisis penggunaan taktik mereka seperti rekayasa sosial, eksploitasi kerentanan, peningkatan hak istimewa, penetrasi jaringan internal, dan transfer dana, dll. Pada saat yang sama berdasarkan kasus nyata mereka merangkum saran pertahanan terhadap serangan APT berharap dapat memberikan referensi bagi industri membantu lebih banyak organisasi meningkatkan kemampuan perlindungan keamanan mengurangi dampak ancaman potensial.