Kötü şöhretli Lazarus grubunun bir alt grubu olan TraderTraitor olarak bilinen Kuzey Kore devlet destekli ileri süren tehdit (APT), dijital varlık soygunlarında uzmanlaşmış müthiş bir aktör olarak ortaya çıktı.
Maniant, Microsoft, Proofpoint ve Unit42 dahil olmak üzere çeşitli siber güvenlik firmaları tarafından UNC4899, Jade Sleet, TA444 ve Slow Balık gibi takma adlar altında izlenen TraderTraitor, Kuzey Kore Keşif Genel Bürosu (RGB), özellikle de 3RD’lik yabancı istihbaratın himayesinde faaliyet göstermektedir.
Finansal olarak motive edilmiş operasyonlar
Faaliyetleri ilk olarak FBI, CISA ve ABD Hazinesi’nden 2022 Ortak Danışmanlığı’nda kamuya açıklandığından, bu küme, sosyal mühendislik, kötü amaçlı yazılım dağıtımı ve tedarik zinciri uzlaşmalarının karmaşık karışımları yoluyla bitcoin ve eter gibi kripto para birimlerinde milyarlarca çalmaya bağlanmıştır.
Grubun birincil hedefi, uluslararası yaptırımları atlatmak için finansal kazanç, blockchain varlıklarını, borsaları, DEFI platformlarını ve yüksek net değerli bireyleri hedefleyerek devlet programlarını finanse etmektir.
Hırsızlığın ötesinde, TraderTraitor zaman zaman casusluk sürdürüyor, kripto sektöründe hassas fikri mülkiyet arıyor, ancak operasyonlar tipik olarak hileli işlemlere ilk erişimden hızla artıyor ve siber suçlu uçlar için ulus-devlet taktiklerini kullanıyor.
TraderTraitor’un Tradecraft, JavaScript, Node.js ve elektron çerçevesi üzerine inşa edilen ve genellikle açık kaynak projelerinden yeniden tasarlanan ve Spear-Dochishing kampanyaları (MITER T1566.003) aracılığıyla dağıtılan elektron çerçevesi üzerine inşa edilen truva para birimi uygulamalarından başlayarak 2020’den beri önemli ölçüde gelişmiştir.
Dafom, Tokenais ve Cryptas gibi bu kötü niyetli uygulamalar, meşru ticaret veya fiyat tahmin araçları olarak maskelenmiş, cilalı web siteleriyle tamamlanmış ve algılamadan kaçınmak için hileli bir şekilde elde edilen kod imzalama sertifikaları (T1553.002).
Taktik evrim
Initial intrusions target DevOps engineers and system administrators through fake job lures on platforms like LinkedIn or Telegram, enticing victims to execute payloads (T1204.002) that establish command-and-control (C2) channels (T1105) for delivering secondary malware like MANUSCRYPT, a remote access trojan capable of system reconnaissance (T1082), arbitrary command execution (T1059), ve özel anahtarları çalmak için kimlik bilgisi hasat.
2023 yılına gelindiğinde, grup açık kaynaklı tedarik zinciri saldırılarına (T1195.001) döndü, GitHub’daki geliştiricileri, blockchain firmalarında aşağı akış sistemlerini tehlikeye atmayı amaçlayan işbirlikçi projelere kötü niyetli NPM veya PYPI paketleri enjekte etmek için taklit etti.
Bu, yanal hareket ve kod kurcalama için kamu depolarından yararlanmada ilk olarak bir ulus-devleti işaret etti.
Dikkate değer olaylar, mızrak aktı, bulut kimlik sağlayıcısının altyapısından kripto para birimi müşterilerine kötü amaçlı güncellemelerin zorlanmasını sağladığı, savunmaları atlatarak ve sınırlı sayıda kurbanları etkilemeyi sağladığı 2023 Jumpcloud tedarik zinciri uzlaşması (T1195.002) dahil olmak üzere, traderTraitor’un kahramanlığının altını çizdi.
2024’te grup, GitHub’da sahte bir kodlama zorluğu olan bir Ginco geliştiricisini çekerek RN yükleyici ve RN stealer kötü amaçlı yazılımları (T1059.006), SSH KEY’lerini ve oturum kurabiyelerini (T1552.004, T1550.004), 4,502.9’u bir araya getirerek, 308 milyon dolarlık DMM Bitcoin soygunu düzenledi. kanal.
2024’ün sonlarında Bybit Hack, 1,5 milyar doların üzerinde ETH’de çalıyor, bir geliştiricinin macOS iş istasyonunu kötü niyetli bir python uygulaması ve docker imajı (T1580) aracılığıyla uzatmayı, keşif (T1580) (T1580) için AWS oturum belirteçlerini çalmayı ve javascript’i enjekte etmek için güvenli} ‘s next.js front (t155. gerçek zamanlı.
2025’in başlarındaki FBI atıfları, SaaS entegrasyonlarından yararlanmak için kimlik bilgisi eksfiltrasyonu (T1552.004) ve IAM rol numaralandırması (T1087.004) dahil bulut odağını vurgulayarak bunları TraderTraitor’a bağladı.
TraderTraitor’un JumpCloud ve Safe {cüzdan} gibi sağlayıcılara yönelik saldırılarda görülen bulut ortamlarına vurgu, aşırı izin veren kimlikler ve maruz kalan sırlar gibi saldırı yüzeylerini kullanır, kalıcılık ve yanal hareket sağlar.
Wiz gibi siber güvenlik platformları, segmentasyon için kontroller, minimum ayrıcalık uygulama ve yapılandırmalarda, sırlar ve riskleri azaltma bağımlılıklarında anomali tespiti önerir.
Temmuz 2025 itibariyle, geleneksel kimlik avı gelişmiş tedarik zinciri taktikleriyle harmanlayan devam eden kampanyalarla, trenutraitor, küresel bulut müşterileri ve tarihin en büyük dijital hırsızlıklarından sorumlu kripto para birimi ekosistemi için kritik bir tehdit olmaya devam etmektedir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!