朝鲜黑客从加密货币公司 DMM Bitcoin 窃取 3.08 亿美元比特币
朝鲜黑客从加密货币公司 DMM Bitcoin 窃取 3.08 亿美元比特币
日本和美国当局此前曾将 2024 年 5 月加密货币公司 DMM Bitcoin 价值 3.08 亿美元的加密货币盗窃事件归咎于朝鲜网络攻击者。
“此次盗窃与 TraderTraitor 威胁活动有关,该威胁活动也被追踪为 Jade Sleet、UNC4899 和 Slow Pisces,”这些机构表示。“TraderTraitor 活动通常以同时针对同一家公司的多名员工的有针对性的社会工程为特征。”
该警报由美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出。值得注意的是,DMM Bitcoin 已于本月初停止运营。
TraderTraitor 是一个与朝鲜有关的持续性威胁活动集群,该集群曾以 Web3 领域的公司为目标,诱骗受害者下载带有恶意软件的加密货币应用程序并最终促成盗窃。据了解,该集群至少从 2020 年开始活跃。
近年来,该黑客团队策划了一系列攻击,利用以工作为主题的社会工程活动或以合作 GitHub 项目为借口接触潜在目标,进而部署恶意 npm 包。
然而,该组织最出名的举动可能是去年渗透并未经授权访问 JumpCloud 系统,针对一小部分下游客户。
FBI 记录的攻击链没有什么不同,威胁行为者于 2024 年 3 月联系了日本一家名为 Ginco 的加密货币钱包软件公司的员工,冒充招聘人员并向他们发送了托管在 GitHub 上的恶意 Python 脚本的 URL,作为所谓的就业前测试的一部分。
受害者有权访问 Ginco 的钱包管理系统,但在将 Python 代码复制到个人 GitHub 页面后,该系统便遭到入侵。
2024 年 5 月中旬,攻击者进入攻击的下一阶段,利用会话 cookie 信息冒充受感染的员工并成功获取了 Ginco 未加密通信系统的访问权限。
“2024 年 5 月下旬,攻击者可能利用此访问权限操纵了 DMM 员工的合法交易请求,导致 4,502.9 BTC 损失,攻击发生时价值 3.08 亿美元,”该机构表示。“被盗资金最终转移到 TraderTraitor 控制的钱包中。
此前不久,Chainalysis 将 DMM Bitcoin 黑客攻击事件归咎于朝鲜威胁者,并称攻击者利用基础设施中的漏洞进行未经授权的提款。
该区块链情报公司表示:“攻击者将价值数百万美元的加密货币从 DMM 比特币转移到几个中间地址,最终到达比特币 CoinJoin 混合服务。”
“在使用比特币 CoinJoin 混合服务成功混合被盗资金后,攻击者通过多种桥接服务将部分资金转移,最终转移到 HuiOne Guarantee,这是一个与柬埔寨企业集团 HuiOne Group 有关的在线市场,该集团此前被曝光是网络犯罪的重要参与者。”
与此同时,安实验室安全情报中心 (ASEC) 透露,朝鲜威胁行为者代号为 Andariel 的 Lazarus 集团下属子集群正在部署 SmallTiger 后门,作为针对韩国资产管理和文档集中化解决方案的攻击的一部分。
“此次盗窃与 TraderTraitor 威胁活动有关,该威胁活动也被追踪为 Jade Sleet、UNC4899 和 Slow Pisces,”这些机构表示。“TraderTraitor 活动通常以同时针对同一家公司的多名员工的有针对性的社会工程为特征。”
该警报由美国联邦调查局、国防部网络犯罪中心和日本国家警察厅发出。值得注意的是,DMM Bitcoin 已于本月初停止运营。
TraderTraitor 是一个与朝鲜有关的持续性威胁活动集群,该集群曾以 Web3 领域的公司为目标,诱骗受害者下载带有恶意软件的加密货币应用程序并最终促成盗窃。据了解,该集群至少从 2020 年开始活跃。
近年来,该黑客团队策划了一系列攻击,利用以工作为主题的社会工程活动或以合作 GitHub 项目为借口接触潜在目标,进而部署恶意 npm 包。
然而,该组织最出名的举动可能是去年渗透并未经授权访问 JumpCloud 系统,针对一小部分下游客户。
FBI 记录的攻击链没有什么不同,威胁行为者于 2024 年 3 月联系了日本一家名为 Ginco 的加密货币钱包软件公司的员工,冒充招聘人员并向他们发送了托管在 GitHub 上的恶意 Python 脚本的 URL,作为所谓的就业前测试的一部分。
受害者有权访问 Ginco 的钱包管理系统,但在将 Python 代码复制到个人 GitHub 页面后,该系统便遭到入侵。
2024 年 5 月中旬,攻击者进入攻击的下一阶段,利用会话 cookie 信息冒充受感染的员工并成功获取了 Ginco 未加密通信系统的访问权限。
“2024 年 5 月下旬,攻击者可能利用此访问权限操纵了 DMM 员工的合法交易请求,导致 4,502.9 BTC 损失,攻击发生时价值 3.08 亿美元,”该机构表示。“被盗资金最终转移到 TraderTraitor 控制的钱包中。
此前不久,Chainalysis 将 DMM Bitcoin 黑客攻击事件归咎于朝鲜威胁者,并称攻击者利用基础设施中的漏洞进行未经授权的提款。
该区块链情报公司表示:“攻击者将价值数百万美元的加密货币从 DMM 比特币转移到几个中间地址,最终到达比特币 CoinJoin 混合服务。”
“在使用比特币 CoinJoin 混合服务成功混合被盗资金后,攻击者通过多种桥接服务将部分资金转移,最终转移到 HuiOne Guarantee,这是一个与柬埔寨企业集团 HuiOne Group 有关的在线市场,该集团此前被曝光是网络犯罪的重要参与者。”
与此同时,安实验室安全情报中心 (ASEC) 透露,朝鲜威胁行为者代号为 Andariel 的 Lazarus 集团下属子集群正在部署 SmallTiger 后门,作为针对韩国资产管理和文档集中化解决方案的攻击的一部分。
关于作者
评论0次