Elastik güvenlik araştırmacıları, 21 Şubat 2025, Bybit kripto para birimi soygununun karmaşık ayrıntılarını yeniden yarattı ve burada yaklaşık 400.000 et-bir milyar doların üzerinde çalındı.
Kuzey Kore’nin seçkin siber ünitesi olan trenTraitor’a atfedilen bu saldırı, çoklu bir cüzdan platformu olan Safe {cüzdan} ile güvenilir bir satıcı ilişkisini kullandı ve rutin bir işlemi tarihin en büyük kripto hırsızlarından birine dönüştürdü.
Bulut sömürüsüne ilk erişimden saldırıyı simüle ederek, ekip sadece Kore Demokratik Halk Cumhuriyeti’nin taktiklerini (DPRK) parçalamakla kalmadı, aynı zamanda Elastik’in güvenlik çözümlerini kullanarak sağlam tespit ve önleme stratejilerini de test etti.
.png
)
Simülasyon, 4 Şubat 2025’te gerçek dünya olayını yansıtan bir geliştiricinin macOS iş istasyonunun uzlaşmasıyla başladı.
MacOS uzlaşmasından AWS Girişimine: Adım Adım Tekrar Oyun
Araştırmacılar, muhtemelen Telegram veya Discord gibi platformlar aracılığıyla teslim edilen ve Pyyaml kütüphanesinde güvenli olmayan bir seansizasyon yoluyla bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanan bir kötü niyetli python uygulamasının yürütülmesini taklit ettiler.
Bu, ikinci aşamalı bir yükleyici ve Mythicc2 Poseidon Agent-Gizli Golang yükü etkinleştiren saldırganların AWS oturumu belirteçlerini geliştiricinin ortamından hasat etmek için dağıtmasına yol açtı.
Genellikle ~/.aws dosyalarında veya ortam değişkenlerinde önbelleğe alınan bu geçici kimlik bilgileri, 24 saat içinde SAFE {cüzdan} ‘nın AWS altyapısına bir kapı sağladı.
Emülasyon, S3 kovalarının numaralandırılması da dahil olmak üzere 5 ve 17 Şubat arasındaki keşif faaliyetlerini, App.safe.global’da statik olarak barındırılan bir sonraki.
19 Şubat’ta ön uç JavaScript ile uğraşarak saldırganlar, Bybit işlemlerini DPRK kontrollü cüzdanlara yönlendirmek için kötü amaçlı kod enjekte ettiler, bir test uygulamasında işlem mantığını değiştirerek elastik kontrollü ortamda onaylanan bir taktik.
Simülasyonun AWS aşaması, saldırganların hassasiyetinin altını çizdi. Çalınan oturum belirteçlerini kullanarak, sanal bir MFA aygıtını kaydederek kalıcılığa teşebbüs ettiler-AWS korumaları tarafından engellenen bir çaba ve işlemleri manipüle etmek için S3 ile evlenen JavaScript demetlerinin üzerine yazmaya odaklandı.
Elastik’in araştırmacıları, kova içeriğini senkronize ederek, uygulamanın tersine mühendislik yaparak ve cüzdan adreslerini değiştirmek için koşullu mantık enjekte ederek yeniden yarattı ve alt kısım bütünlüğü (SRI) veya S3 nesne kilidi gibi bütünlük kontrolleri olmadan ön uç kurcalama kolaylığını gösterdi.
Egzersiz ayrıca, Elastik’in SIEM kurallarının Python komut dosyası kendi kendine yıkımı, hassas dosya erişimi ve CloudTrail günlükleri aracılığıyla olağandışı S3 yüklemeleri gibi şüpheli etkinlikleri tanımlayan tespit fırsatlarını da vurguladı.
Rapora göre, Elastik’in saldırı keşfi özelliği, savunucuların yanıt sürelerini nasıl hızlandırabileceğini gösteren, uç nokta ve bulut olaylarını uyumlu bir anlatı haline getirdi.
Sygnia, Mantiant, Slowmist ve Unit42’nin ayrıntılı raporlarına dayanan bu öykünme, kripto ekosistemini hedefleyen ulus devlet siber taktiklerine nadir bir bakış sunuyor.
DPRK’nın 2017’den bu yana 6 milyar doların üzerinde hırsızlıktan sorumlu tedarik zinciri saldırıları ve sosyal mühendislik stratejisi, bu uygulamalı yaklaşımla çıplak bırakıldı.
Teknik anlayışların ötesinde, güçlü savunma kullanıcısı farkındalık eğitimi, AWS SSO üzerinden kısa ömürlü oturum jetonları ve bu tür sofistike müdahaleleri engellemek için değişmez S3 konfigürasyonlarına olan ihtiyacı vurguladı.
Elastik’in platformu, her bir saldırı aşamasının tespit edilmesinde ve hafifletilmesinde araçsal olduğunu kanıtladı, birleşik uç nokta ve bulut görünürlüğünün önemini, tüccar gibi gelişmiş kalıcı tehditlerle mücadele etmede güçlendirdi.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir