سلو فوغ كوساين: تم التأكيد على أن حادثة سرقة CEX تعرضت لهجوم من قبل مجموعة لازاروس الكورية الشمالية، وتم الكشف عن أسلوب هجومهم

نشر مؤسس SlowMist، يو كوساين، على وسائل التواصل الاجتماعي قائلاً إنه من خلال تحليل الأدلة والتتبع المرتبط، أكدنا أن المهاجم في حادثة سرقة CEX هو بالفعل مجموعة القراصنة الكورية الشمالية Lazarus Group. هذا هجوم APT على مستوى الدولة يستهدف منصات تداول العملات المشفرة. قررنا مشاركة مؤشرات الاختراق (IOCs) ذات الصلة، والتي تشمل بعض مزودي الخدمات السحابية والوكلاء الذين تم استغلال عناوين IP الخاصة بهم. يجب ملاحظة أن هذا الإفصاح لا يحدد أي منصة أو منصات متورطة، ولا يذكر CEX بشكل محدد؛ إذا كانت هناك تشابهات، فهذا ليس مستحيلاً.

استخدم المهاجمون pyyaml لتنفيذ RCE (تنفيذ التعليمات البرمجية عن بُعد) لتسليم التعليمات البرمجية الضارة وبالتالي التحكم في أجهزة الكمبيوتر والخوادم المستهدفة. تتجاوز هذه الطريقة معظم عمليات فحص برامج مكافحة الفيروسات. بعد مزامنة المعلومات الاستخباراتية مع الشركاء، تم الحصول على عينات ضارة مشابهة متعددة. الهدف الرئيسي للمهاجمين هو السيطرة على المحافظ من خلال اختراق البنية التحتية لمنصات تداول العملات المشفرة ثم نقل كميات كبيرة من الأصول المشفرة بشكل غير قانوني من هذه المحافظ.

نشرت SlowMist مقالة ملخصة تكشف عن أساليب هجوم مجموعة Lazarus وحللت استخدامهم لتكتيكات مثل الهندسة الاجتماعية، استغلال الثغرات، تصعيد الامتيازات، اختراق الشبكة الداخلية ونقل الأموال وغيرها. في الوقت نفسه، استنادًا إلى الحالات الفعلية، قاموا بتلخيص اقتراحات دفاعية ضد هجمات APT على أمل توفير مراجع للصناعة لمساعدة المزيد من المنظمات على تعزيز قدرات الحماية الأمنية وتقليل تأثيرات التهديدات المحتملة.