Japon ve ABD’li yetkililer daha önce Mayıs 2024’te kripto para şirketi DMM Bitcoin’den 308 milyon dolar değerindeki kripto paranın çalınmasını Kuzey Koreli siber aktörlere bağlamışlardı.
Ajanslar, “Hırsızlık Jade Sleet, UNC4899 ve Slow Pisces olarak da takip edilen TraderTraitor tehdit faaliyetiyle bağlantılıdır.” söz konusu. “TraderTraitor faaliyeti genellikle aynı şirketin birden fazla çalışanına aynı anda yönelik hedefli sosyal mühendislikle karakterize edilir.”
Uyarı, ABD Federal Soruşturma Bürosu, Savunma Bakanlığı Siber Suç Merkezi ve Japonya Ulusal Polis Teşkilatı’nın izniyle geldi. Şunu belirtmek gerekir ki DMM Bitcoin faaliyetlerini kapatmak bu ayın başlarında.
TraderTraitor, Web3 sektöründeki şirketleri hedef alan, kurbanları kötü amaçlı yazılım içeren kripto para birimi uygulamalarını indirmeye teşvik eden ve sonuçta hırsızlığı kolaylaştıran Kuzey Kore bağlantılı kalıcı bir tehdit faaliyeti kümesini ifade ediyor. En az 2020’den beri aktif olduğu biliniyor.
Son yıllarda bilgisayar korsanlığı ekibi, iş temalı sosyal mühendislik kampanyalarından yararlanan veya bir GitHub projesinde işbirliği yapma bahanesiyle potansiyel hedeflere ulaşan bir dizi saldırı düzenledi ve bu da daha sonra kötü niyetli npm paketlerinin konuşlandırılmasına yol açtı.
Ancak grup belki de en çok geçen yıl küçük bir alt müşteri grubunu hedeflemek için JumpCloud’un sistemlerine sızıp yetkisiz erişim elde etmesiyle tanınıyor.
FBI tarafından belgelenen saldırı zinciri, tehdit aktörlerinin Mart 2024’te Ginco adlı Japonya merkezli bir kripto para cüzdanı yazılım şirketinin bir çalışanıyla iletişime geçerek işe alım uzmanı kılığına girerek bu çalışana GitHub’da barındırılan kötü amaçlı bir Python komut dosyasının URL’sini göndermesi açısından farklı değil. sözde istihdam öncesi testin bir parçası olarak.
Ginco’nun cüzdan yönetim sistemine erişimi olan kurban, Python kodunu kişisel GitHub sayfasına kopyaladıktan sonra ele geçirildi.
Saldırgan, 2024 yılının Mayıs ayının ortasında, güvenliği ihlal edilen çalışanın kimliğine bürünmek için oturum çerezi bilgilerinden yararlanarak ve Ginco’nun şifrelenmemiş iletişim sistemine başarılı bir şekilde eriştiğinde, saldırının bir sonraki aşamasına geçti.
Ajanslar, “Mayıs 2024’ün sonlarında, aktörler muhtemelen bu erişimi bir DMM çalışanının meşru işlem talebini manipüle etmek için kullandılar ve bu da saldırı sırasında 308 milyon dolar değerinde olan 4.502,9 BTC’nin kaybına yol açtı.” dedi. “Çalınan fonlar sonuçta TraderTraitor tarafından kontrol edilen cüzdanlara taşındı.”
Açıklama, Chainalytics’in DMM Bitcoin’in hacklenmesini Kuzey Koreli tehdit aktörlerine atfetmesinden kısa bir süre sonra geldi ve saldırganların yetkisiz para çekme işlemleri yapmak için altyapıdaki güvenlik açıklarını hedef aldığını belirtti.
Blockchain istihbarat firması, “Saldırgan, sonunda Bitcoin CoinJoin Karıştırma Hizmetine ulaşmadan önce milyonlarca dolar değerindeki kriptoyu DMM Bitcoin’den çeşitli aracı adreslere taşıdı.” söz konusu.
“Çalınan fonları Bitcoin CoinJoin Karıştırma Hizmeti’ni kullanarak başarılı bir şekilde karıştırdıktan sonra, saldırganlar fonların bir kısmını bir dizi köprüleme hizmeti aracılığıyla ve son olarak daha önce Kamboçyalı şirketler grubu HuiOne Group’a bağlı bir çevrimiçi pazar yeri olan HuiOne Garantisi’ne taşıdılar. Siber suçları kolaylaştırmada önemli bir oyuncu olduğu ortaya çıktı.”
Bu gelişme aynı zamanda AhnLab Güvenlik İstihbarat Merkezi (ASEC) olarak da geliyor. açıklığa kavuşmuş Lazarus Grubu’nun bir alt kümesi olan Andariel kod adlı Kuzey Koreli tehdit aktörünün, Güney Kore varlık yönetimi ve belge merkezileştirme çözümlerini hedef alan saldırıların bir parçası olarak SmallTiger arka kapısını konuşlandırdığı belirtildi.
