Slow Fog Cosine: Xác nhận rằng vụ trộm CEX đã bị tấn công bởi nhóm hacker Lazarus của Triều Tiên, phương thức tấn công của họ đã được tiết lộ

Người sáng lập SlowMist, Yu Cosine, đã đăng trên mạng xã hội rằng thông qua phân tích bằng chứng và theo dõi liên quan, chúng tôi đã xác nhận rằng kẻ tấn công trong vụ trộm CEX thực sự là tổ chức hacker Bắc Triều Tiên Lazarus Group. Đây là một cuộc tấn công APT cấp nhà nước nhắm vào các nền tảng giao dịch tiền điện tử. Chúng tôi quyết định chia sẻ các IOC (Chỉ số Thỏa hiệp) liên quan, bao gồm một số nhà cung cấp dịch vụ đám mây và proxy có IP bị khai thác. Cần lưu ý rằng tiết lộ này không chỉ rõ nền tảng hoặc các nền tảng nào liên quan, cũng không đề cập cụ thể đến CEX; nếu có sự tương đồng, điều đó không phải là không thể.

Các kẻ tấn công đã sử dụng pyyaml cho RCE (Thực thi Mã Từ xa) để phát tán mã độc và do đó kiểm soát máy tính và máy chủ mục tiêu. Phương pháp này vượt qua hầu hết các quét phần mềm diệt virus. Sau khi đồng bộ hóa thông tin tình báo với các đối tác, nhiều mẫu mã độc tương tự đã được thu thập. Mục tiêu chính của kẻ tấn công là giành quyền kiểm soát ví bằng cách xâm nhập vào cơ sở hạ tầng của các nền tảng giao dịch tiền điện tử và sau đó chuyển bất hợp pháp một lượng lớn tài sản mã hóa từ các ví này.

SlowMist đã công bố một bài viết tóm tắt tiết lộ các phương pháp tấn công của Lazarus Group và phân tích việc sử dụng các chiến thuật như kỹ thuật xã hội, khai thác lỗ hổng, leo thang đặc quyền, xâm nhập mạng nội bộ và chuyển tiền, v.v. Đồng thời, dựa trên các trường hợp thực tế, họ đã tổng hợp các đề xuất phòng thủ chống lại các cuộc tấn công APT với hy vọng cung cấp tài liệu tham khảo cho ngành, giúp nhiều tổ chức nâng cao khả năng bảo vệ an ninh, giảm thiểu tác động của các mối đe dọa tiềm ẩn.