27 février 2025Ravie LakshmananCybercriminalité / crypto-monnaie

Le Federal Bureau of Investigation (FBI) des États-Unis a officiellement lié le piratage record de 1,5 milliard de dollars aux acteurs de la menace nord-coréenne, en tant que PDG de la société Ben Zhou déclaré Une «guerre contre Lazare».

L’agence a déclaré que la République populaire démocrate de Corée (Corée du Nord) était responsable du vol des actifs virtuels de l’échange de crypto-monnaie, l’attribuant à un cluster spécifique qu’il suit en tant que TraderTraitor, qui est également appelé Jade Sleet, Slow Poisses et UNC4899.

“Les acteurs de TraderTraitor se déroulent rapidement et ont converti certains des actifs volés en bitcoin et autres actifs virtuels dispersés sur des milliers d’adresses sur plusieurs blockchains”, le FBI dit. “On s’attend à ce que ces actifs soient davantage blanchis et finalement convertis en monnaie fiduciaire.”

Il convient de noter que le cluster TraderTraitor a déjà été impliqué par les autorités japonaises et américaines dans le vol de crypto-monnaie d’une valeur de 308 millions de dollars de la société de crypto-monnaie DMM Bitcoin en mai 2024.

Cybersécurité

L’acteur de menace est connu pour cibler les sociétés du secteur Web3, incitant souvent les victimes à télécharger des applications de crypto-monnaie à base de logiciels malveillants pour faciliter le vol. Alternativement, il a également été trouvé pour orchestrer des campagnes d’ingénierie sociale sur le thème de l’emploi qui conduisent au déploiement de forfaits NPM malveillants.

Par ailleurs, en attendant, a lancé un programme de primes Pour aider à récupérer les fonds volés, tout en appelant Exch pour refuser de coopérer dans la sonde et aider à geler les actifs.

“Les fonds volés ont été transférés vers des destinations introuvables ou congemables, telles que des échanges, des mélangeurs ou des ponts, ou converties en stablecoins qui peuvent être gelés”, a-t-il déclaré. “Nous avons besoin de la coopération de toutes les parties concernées pour geler les fonds ou fournir des mises à jour sur leur mouvement afin que nous puissions continuer à suivre.”

La société basée à Dubaï a également commun Les conclusions de deux enquêtes menées par Sygnia et Verichains, reliant le piratage au groupe Lazare.

“L’enquête médico-légale des hôtes des trois signataires suggère que la cause profonde de l’attaque est un code malveillant provenant de l’infrastructure de Safe {Wallet}”, a déclaré Sygnia.

Verichains a noté que “le fichier JavaScript bénin d’App.safe.global semble avoir été remplacé par du code malveillant le 19 février 2025, à 15:29:25 UTC, ciblant spécifiquement le portefeuille froid multisig de l’Ethereum, qui s’est produit le 21 février, 2025, à 14:13:35.

Il est soupçonné que le compte AWS S3 ou CloudFront / Key de Safe. Global a probablement été divulgué ou compromis, ouvrant ainsi la voie à une attaque de la chaîne d’approvisionnement.

Dans une déclaration séparée, la plate-forme de portefeuille multisig, Safe {Wallet} a déclaré que l’attaque avait été réalisée en compromettant l’une des machines de ses développeurs qui ont affecté un compte exploité par Bybit. La société a en outre noté qu’elle avait mis en œuvre des mesures de sécurité supplémentaires pour atténuer le vecteur d’attaque.

L’attaque “a été réalisée grâce à une machine compromise d’un développeur en toute sécurité {portefeuille} résultant en la proposition d’une transaction malveillante déguisée” dit. “Lazare est un groupe de pirates nord-coréen parrainé par l’État qui est bien connu pour ses attaques sophistiquées d’ingénierie sociale contre les références des développeurs, parfois combinées à des exploits zéro-jours.”

On ne sait actuellement pas comment le système du développeur a été violé, bien qu’une nouvelle analyse de Silent Push ait révélé que le groupe Lazare a enregistré l’évaluation du domaine[.]com à 22:21:57 le 20 février 2025, quelques heures avant le vol de la crypto-monnaie.

Cybersécurité

Records Whois montrer que le domaine a été enregistré à l’aide de l’adresse e-mail “Trevorgreer9312 @ gmail[.]com, “qui a été précédemment identifié comme un personnage utilisé par le groupe Lazare en connexion avec une autre campagne surnommée une interview contagieuse.

“Il semble que le back-baist a été dirigé par le groupe d’acteurs de menace de la RPDC connue sous le nom de TraderTraitor, également connu sous le nom de jade greet et les Poissons lents – tandis que l’escroquerie d’interview crypto est dirigée par un groupe d’acteurs de menace de la RPDC connue sous le nom d’interview contagieuse, également connue sous le nom de célèbre Chollima”, la société dit.

“Les victimes sont généralement approchées via LinkedIn, où elles sont socialement conçues pour participer à de fausses entretiens d’embauche. Ces entretiens servent de point d’entrée pour le déploiement de logiciels malveillants ciblés, la récolte des diplômes et le compromis supplémentaire des actifs financiers et des entreprises.”

On estime que les acteurs liés à la Corée du Nord ont volé plus de 6 milliards de dollars d’actifs cryptographiques depuis 2017. Les 1,5 milliard de dollars volés la semaine dernière dépassent les 1,34 milliard de dollars que les acteurs de la menace volés à 47 casses de crypto-monnaie en 2024.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57