Trong một diễn biến đáng kể, chính quyền Nhật Bản và Hoa Kỳ đã chính thức quy kết vụ trộm 308 triệu đô la tiền điện tử từ DMM Bitcoin vào tháng 5 năm 2024 cho các tác nhân mạng Triều Tiên. Sự cố đáng báo động này làm nổi bật mối đe dọa đang diễn ra do các nhóm tin tặc tinh vi có liên hệ với chế độ Triều Tiên gây ra.

Hoạt động đe dọa của TraderTraitor 🚨

Vụ trộm có liên quan đến một nhóm hoạt động đe dọa mạng được gọi là TraderTraitor, cũng được theo dõi dưới nhiều bí danh khác nhau, bao gồm Jade Sleet, UNC4899 và Slow Pisces. Theo cảnh báo do Cục Điều tra Liên bang Hoa Kỳ (FBI), Trung tâm Tội phạm Mạng của Bộ Quốc phòng và Cơ quan Cảnh sát Quốc gia Nhật Bản đưa ra, TraderTraitor được đặc trưng bởi các chiến thuật kỹ thuật xã hội có mục tiêu nhắm vào nhiều nhân viên trong cùng một tổ chức cùng một lúc.

DMM Bitcoin, một sàn giao dịch tiền điện tử nổi bật, đã ngừng hoạt động sau vụ hack, nhấn mạnh tác động nghiêm trọng của tội phạm mạng này.

Phương thức hoạt động của TraderTraitor 🕵️‍♂️

TraderTraitor đã hoạt động ít nhất từ năm 2020 và có lịch sử nhắm mục tiêu vào các công ty trong lĩnh vực Web3. Nhóm này sử dụng nhiều chiến thuật khác nhau để lôi kéo nạn nhân tải xuống các ứng dụng tiền điện tử chứa mã độc, cuối cùng tạo điều kiện cho việc đánh cắp. Các cuộc tấn công gần đây đã bao gồm các chiến dịch kỹ thuật xã hội có chủ đề việc làm, trong đó các hacker giả mạo là nhà tuyển dụng hoặc cộng tác viên trên các dự án GitHub, dẫn đến việc triển khai các gói npm độc hại.

Một sự cố đáng chú ý liên quan đến việc xâm nhập vào hệ thống của JumpCloud, nơi nhóm này đã giành được quyền truy cập trái phép vào các khách hàng hạ nguồn.

Cuộc tấn công vào DMM Bitcoin: Phân tích chi tiết 🔍

FBI đã ghi nhận một chuỗi tấn công cụ thể bắt đầu vào tháng 3 năm 2024 khi một tác nhân TraderTraitor đã liên hệ với một nhân viên tại Ginco, một công ty phần mềm ví tiền điện tử có trụ sở tại Nhật Bản. Giả mạo là một nhà tuyển dụng, kẻ tấn công đã gửi một URL đến một script Python độc hại được lưu trữ trên GitHub, ngụy trang thành một bài kiểm tra trước khi tuyển dụng.

Nạn nhân, người có quyền truy cập vào hệ thống quản lý ví của Ginco, đã vô tình làm lộ hệ thống của họ bằng cách sao chép mã độc vào trang GitHub cá nhân của mình. Lỗ hổng này cho phép kẻ thù khai thác thông tin cookie phiên, giả mạo nhân viên bị xâm phạm và truy cập vào hệ thống thông tin liên lạc không mã hóa của Ginco.

Vào cuối tháng 5 năm 2024, các kẻ tấn công có khả năng đã sử dụng quyền truy cập này để thao túng một yêu cầu giao dịch hợp pháp từ một nhân viên DMM, dẫn đến việc đánh cắp 4,502.9 BTC, trị giá 308 triệu đô la vào thời điểm đó. Các khoản tiền bị đánh cắp sau đó đã được chuyển đến các ví do TraderTraitor kiểm soát.

Những phát hiện của Chainalysis và chuyển động quỹ 💸

Sau sự cố, công ty tình báo blockchain Chainalysis đã xác nhận rằng vụ hack thực sự liên quan đến các tác nhân đe dọa Bắc Triều Tiên. Họ báo cáo rằng các kẻ tấn công đã khai thác các lỗ hổng trong cơ sở hạ tầng của DMM Bitcoin để thực hiện các giao dịch rút tiền trái phép.

Cryptocurrency bị đánh cắp đã được chuyển qua nhiều địa chỉ trung gian trước khi đến một dịch vụ trộn CoinJoin Bitcoin, làm mờ đi dấu vết của các khoản tiền. Sau khi trộn, một phần của tài sản bị đánh cắp đã được chuyển qua các dịch vụ cầu nối khác nhau, cuối cùng đến với HuiOne Guarantee, một thị trường trực tuyến liên quan đến tập đoàn HuiOne Campuchia, nổi tiếng với việc tạo điều kiện cho các tội phạm mạng.

Các mối đe dọa đang diễn ra từ các tác nhân mạng Bắc Triều Tiên 🔒

Tình hình càng trở nên phức tạp bởi các hoạt động của một tác nhân đe dọa Bắc Triều Tiên khác, có mã hiệu là Andariel, thuộc nhóm Lazarus lớn hơn. Các báo cáo gần đây từ Trung tâm Tình báo An ninh AhnLab (ASEC) cho thấy Andariel đang triển khai cửa hậu SmallTiger trong các cuộc tấn công nhằm vào các giải pháp quản lý tài sản và tập trung tài liệu của Hàn Quốc.$XRP

$BTC

Kết luận

Việc đánh cắp 308 triệu đô la từ DMM Bitcoin là một lời nhắc nhở rõ ràng về những mối đe dọa liên tục và đang phát triển do các tác nhân mạng Bắc Triều Tiên gây ra. Khi các nhóm này tiếp tục hoàn thiện chiến thuật và khai thác các lỗ hổng trong lĩnh vực tiền điện tử, thật quan trọng đối với các tổ chức phải tăng cường các biện pháp an ninh mạng và giữ cảnh giác trước những cuộc tấn công tiềm tàng.

Sự cố này nhấn mạnh tầm quan trọng của các giao thức an ninh vững chắc và sự cần thiết phải duy trì nhận thức trong bối cảnh thay đổi nhanh chóng của tiền điện tử và các mối đe dọa mạng.