Slow Fog Cosine: Confermato che l'incidente di furto CEX è stato attaccato dal gruppo di hacker nordcoreano Lazarus Group, il loro metodo di attacco è stato rivelato

Il fondatore di SlowMist, Yu Cosine, ha pubblicato sui social media affermando che attraverso l'analisi delle prove e il tracciamento associato, abbiamo confermato che l'attaccante nell'incidente di furto su CEX è effettivamente l'organizzazione di hacker nordcoreana Lazarus Group. Si tratta di un attacco APT a livello statale che prende di mira le piattaforme di trading di criptovalute. Abbiamo deciso di condividere gli IOC (Indicatori di Compromissione) correlati, che includono alcuni fornitori di servizi cloud e proxy i cui IP sono stati sfruttati. Va notato che questa divulgazione non specifica quale o quali piattaforme siano coinvolte, né menziona specificamente CEX; se ci sono somiglianze, non è impossibile.

Gli attaccanti hanno utilizzato pyyaml per RCE (Esecuzione di Codice Remoto) per distribuire codice dannoso e quindi controllare computer e server target. Questo metodo bypassa la maggior parte delle scansioni dei software antivirus. Dopo aver sincronizzato le informazioni con i partner, sono stati ottenuti più campioni dannosi simili. L'obiettivo principale degli attaccanti è ottenere il controllo sui portafogli invadendo l'infrastruttura delle piattaforme di trading di criptovalute e quindi trasferire illegalmente grandi quantità di asset criptati da questi portafogli.

SlowMist ha pubblicato un articolo riassuntivo che rivela i metodi di attacco del Lazarus Group e ha analizzato il loro uso di tattiche come l'ingegneria sociale, lo sfruttamento delle vulnerabilità, l'escalation dei privilegi, la penetrazione della rete interna e il trasferimento di fondi, ecc. Allo stesso tempo, basandosi su casi reali, hanno riassunto suggerimenti difensivi contro gli attacchi APT sperando di fornire riferimenti per l'industria aiutando più organizzazioni a migliorare le capacità di protezione della sicurezza riducendo i potenziali impatti delle minacce.