Japon ve ABD’li yetkililer daha önce Mayıs 2024’te kripto para şirketi DMM Bitcoin’den 308 milyon dolar değerindeki kripto paranın çalınmasını Kuzey Koreli siber aktörlere bağlamışlardı.
Ajanslar, “Hırsızlık aynı zamanda Jade Sleet, UNC4899 ve Slow Pisces olarak da takip edilen TraderTraitor tehdit faaliyetiyle bağlantılıdır” dedi. “TraderTraitor faaliyeti genellikle aynı şirketin birden fazla çalışanına aynı anda yönelik hedefli sosyal mühendislikle karakterize edilir.”
Uyarı, ABD Federal Soruşturma Bürosu, Savunma Bakanlığı Siber Suç Merkezi ve Japonya Ulusal Polis Teşkilatı’nın izniyle geldi. DMM Bitcoin’in bu ayın başlarında faaliyetlerini durdurduğunu belirtmekte fayda var.
TraderTraitor, Web3 sektöründeki şirketleri hedef alan, mağdurları kötü amaçlı yazılım içeren kripto para birimi uygulamalarını indirmeye teşvik eden ve sonuçta hırsızlığı kolaylaştıran Kuzey Kore bağlantılı kalıcı bir tehdit faaliyeti kümesini ifade ediyor. En az 2020’den beri aktif olduğu biliniyor.
Son yıllarda bilgisayar korsanlığı ekibi, iş temalı sosyal mühendislik kampanyalarından yararlanan veya bir GitHub projesinde işbirliği yapma bahanesiyle potansiyel hedeflere ulaşan bir dizi saldırı düzenledi ve bu da daha sonra kötü niyetli npm paketlerinin konuşlandırılmasına yol açtı.
Ancak grup belki de en çok geçen yıl küçük bir alt müşteri grubunu hedeflemek için JumpCloud’un sistemlerine sızıp yetkisiz erişim elde etmesiyle tanınıyor.
FBI tarafından belgelenen saldırı zinciri, tehdit aktörlerinin Mart 2024’te Ginco adlı Japonya merkezli bir kripto para cüzdanı yazılım şirketinin bir çalışanıyla iletişime geçerek işe alım görevlisi kılığına girerek bu çalışana GitHub’da barındırılan kötü amaçlı bir Python komut dosyasının URL’sini göndermesi açısından farklı değil. sözde istihdam öncesi testin bir parçası olarak.
Ginco’nun cüzdan yönetim sistemine erişimi olan kurban, Python kodunu kişisel GitHub sayfasına kopyaladıktan sonra ele geçirildi.
Saldırgan, 2024 yılının Mayıs ayının ortasında, güvenliği ihlal edilen çalışanın kimliğine bürünmek için oturum çerezi bilgilerinden yararlanarak ve Ginco’nun şifrelenmemiş iletişim sistemine başarılı bir şekilde eriştiğinde, saldırının bir sonraki aşamasına geçti.
Ajanslar, “Mayıs 2024’ün sonlarında, aktörler muhtemelen bu erişimi bir DMM çalışanının meşru işlem talebini manipüle etmek için kullandılar ve bu da saldırı sırasında 308 milyon dolar değerinde olan 4.502,9 BTC’nin kaybına yol açtı.” dedi. “Çalınan fonlar sonuçta TraderTraitor tarafından kontrol edilen cüzdanlara taşındı.”
Açıklama, Chainalytics’in DMM Bitcoin’in hacklenmesini Kuzey Koreli tehdit aktörlerine atfetmesinden kısa bir süre sonra geldi ve saldırganların yetkisiz para çekme işlemleri yapmak için altyapıdaki güvenlik açıklarını hedef aldığını belirtti.
Blockchain istihbarat firması, “Saldırgan, sonunda bir Bitcoin CoinJoin Karıştırma Hizmetine ulaşmadan önce milyonlarca dolar değerindeki kriptoyu DMM Bitcoin’den birkaç aracı adrese taşıdı” dedi.
“Çalınan fonları Bitcoin CoinJoin Karıştırma Hizmeti’ni kullanarak başarılı bir şekilde karıştırdıktan sonra, saldırganlar fonların bir kısmını bir dizi köprüleme hizmeti aracılığıyla ve son olarak daha önce Kamboçyalı şirketler grubu HuiOne Group’a bağlı bir çevrimiçi pazar yeri olan HuiOne Garantisi’ne taşıdılar. Siber suçları kolaylaştırmada önemli bir oyuncu olduğu ortaya çıktı.”
Bu gelişme aynı zamanda AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), Lazarus Grubu’nun bir alt kümesi olan Andariel kod adlı Kuzey Koreli tehdit aktörünün Güney Kore varlık yönetimi ve belge merkezileştirme çözümlerini hedef alan saldırıların bir parçası olarak SmallTiger arka kapısını kullandığını ortaya çıkarmasıyla birlikte geldi. .