在一個重要的發展中,日本和美國當局已正式將2024年5月從DMM Bitcoin竊取的3.08億美元加密貨幣的盜竊歸因於朝鮮網絡行爲者。這個令人震驚的事件突顯了與朝鮮政權相關的複雜黑客團伙所構成的持續威脅。
TraderTraitor威脅活動 🚨
此次盜竊與一個被稱爲TraderTraitor的網絡威脅活動集羣有關,該集羣也以包括Jade Sleet、UNC4899和Slow Pisces等多種別名被追蹤。根據美國聯邦調查局(FBI)、國防部網絡犯罪中心和日本國家警察廳發佈的警報,TraderTraitor的特點是針對同一組織內多個員工的有針對性的社會工程策略。
DMM Bitcoin,一家知名的加密貨幣交易所,在黑客攻擊後已經停止運營,突顯了這一網絡犯罪的嚴重影響。
TraderTraitor的作案方式 🕵️♂️
TraderTraitor自2020年以來一直活躍,歷史上曾針對Web3行業的公司。該組織採用多種策略來誘使受害者下載含有惡意軟件的加密貨幣應用程序,最終促進盜竊。最近的攻擊包括以工作爲主題的社會工程活動,黑客假裝是招聘人員或GitHub項目的合作者,導致惡意npm包的部署。
一個顯著的事件涉及對JumpCloud系統的滲透,黑客獲得了對下游客戶的未經授權訪問。
對DMM Bitcoin的攻擊:詳細解析 🔍
FBI記錄了一個從2024年3月開始的特定攻擊鏈,當時一名TraderTraitor行爲者聯繫了位於日本的加密貨幣錢包軟件公司Ginco的一名員工。攻擊者假裝是招聘人員,向其發送了一個指向GitHub上託管的惡意Python腳本的URL,僞裝成入職前測試。
這名受害者在訪問Ginco的錢包管理系統時,無意中將惡意代碼複製到自己的GitHub頁面,從而使他們的系統受到影響。這一漏洞使對手能夠利用會話Cookie信息,冒充被妥協的員工,並訪問Ginco未加密的通信系統。
在2024年5月底,攻擊者可能利用這種訪問權限操縱DMM員工的合法交易請求,導致盜取了4,502.9 BTC,按當時的匯率價值爲3.08億美元。被盜資金隨後被轉移到TraderTraitor控制的錢包中。
Chainalysis發現和資金流動 💸
在事件發生後,區塊鏈情報公司Chainalysis確認該黑客攻擊確實與朝鮮威脅行爲者有關。他們報告稱,攻擊者利用了DMM Bitcoin基礎設施中的漏洞,執行了未經授權的提款。
被盜的加密貨幣通過幾箇中介地址移動,然後到達一個比特幣CoinJoin混合服務,這模糊了資金的蹤跡。混合後,一部分被盜資產通過各種橋接服務轉移,最終落入與柬埔寨財團HuiOne Group相關的在線市場HuiOne Guarantee,該財團以促進網絡犯罪而聞名。
來自朝鮮網絡行爲者的持續威脅 🔒
情況因另一名朝鮮威脅行爲者的活動而進一步複雜化,該行爲者代號爲Andariel,是更大規模的Lazarus Group的一部分。AhnLab安全情報中心(ASEC)最近的報告顯示,Andariel在針對韓國資產管理和文件集中解決方案的攻擊中部署了SmallTiger後門。$XRP
$BTC
結論
從DMM Bitcoin竊取的3.08億美元加密貨幣提醒我們,朝鮮網絡行爲者所構成的持續和不斷演變的威脅。隨着這些團體不斷完善他們的策略並利用加密貨幣領域的漏洞,組織必須加強他們的網絡安全措施,並對潛在攻擊保持警惕。
這一事件突顯了強大安全協議的重要性,以及在快速變化的加密貨幣和網絡威脅環境中持續保持意識的必要性。