Slow Fog Cosine: Confirmado que o incidente de roubo da CEX foi atacado pelo grupo de hackers norte-coreano Lazarus, seu método de ataque foi revelado

O fundador da SlowMist, Yu Cosine, postou nas redes sociais afirmando que, por meio de análise de evidências e rastreamento associado, confirmamos que o atacante no incidente de roubo da CEX é de fato o grupo de hackers norte-coreano Lazarus Group. Este é um ataque APT em nível estatal direcionado a plataformas de negociação de criptomoedas. Decidimos compartilhar IOCs (Indicadores de Comprometimento) relacionados, que incluem alguns provedores de serviços em nuvem e proxies cujos IPs foram explorados. Deve-se notar que esta divulgação não especifica qual ou quais plataformas estão envolvidas, nem menciona especificamente a CEX; se houver semelhanças, não é impossível.

Os atacantes usaram pyyaml para RCE (Execução Remota de Código) para entregar código malicioso e, assim, controlar computadores e servidores alvo. Este método contorna a maioria das verificações de software antivírus. Após sincronizar inteligência com parceiros, foram obtidas várias amostras maliciosas semelhantes. O principal objetivo dos atacantes é ganhar controle sobre carteiras invadindo a infraestrutura de plataformas de negociação de criptomoedas e, em seguida, transferir ilegalmente grandes quantidades de ativos criptografados dessas carteiras.

A SlowMist publicou um artigo resumido revelando os métodos de ataque do Lazarus Group e analisou seu uso de táticas como engenharia social, exploração de vulnerabilidades, escalonamento de privilégios, penetração em redes internas e transferência de fundos, etc. Ao mesmo tempo, com base em casos reais, eles resumiram sugestões defensivas contra ataques APT, esperando fornecer referências para a indústria, ajudando mais organizações a aprimorar as capacidades de proteção de segurança, reduzindo os impactos potenciais de ameaças.