BitMEX حمله فیشینگ گروه لازاروس را ناکام کرد؛ تاکتیکهای ساده هکرها
مفاهیم کلیدی- BitMEX با شناسایی کد مخرب فیشینگ لازاروس را متوقف کرد
- یک IP مرتبط با عملیات کرهشمالی در جیائشینگ چین شناسایی شد
- گروه لازاروس در ۲۰۲۴ بیش از ۱٫۳۴ میلیارد دلار ارز دیجیتال سرقت کرد
BitMEX حمله فیشینگ گروه لازاروس را ناکام گذاشت و تاکتیکهای آن را «غیرپیشرفته» خواند
صرافی کریپتو BitMEX اعلام کرد که تلاشی برای حمله فیشینگ توسط گروه لازاروس، گروه بدنام مرتبط با کره شمالی، را خنثی کرده است و این حمله را با روشهای «غیرپیشرفته» توصیف نمود.
در پستی در وبلاگ که در ۳۰ مه منتشر شد، این صرافی جزئیات حمله را تشریح کرد. طبق گزارش، یک کارمند از طریق لینکدین با وعده همکاری در یک پروژه NFT وب۳ تماس گرفت. مهاجم سعی داشت با فریب هدف، او را به اجرای یک پروژه در گیتهاب که حاوی کد مخرب بود، ترغیب کند؛ روشی که به گفته BitMEX از نشانههای همیشگی عملیات لازاروس است.
صرافی نوشت: «اگر با تاکتیکهای لازاروس آشنا باشید، این تعامل تا حد زیادی شناختهشده است.» تیم امنیتی BitMEX بلافاصله payload جاوااسکریپت مبهمشده را شناسایی و آن را به زیرساختهایی ردیابی کرد که قبلاً به این گروه مرتبط بود.
یک نقص احتمالی در امنیت عملیاتی نیز آشکار کرد که یکی از آدرسهای IP مرتبط با عملیات کره شمالی در شهر جیائشینگ چین قرار دارد؛ حدود ۱۰۰ کیلومتر از شانگهای فاصله دارد.
BitMEX همچنین نوشت: «الگوی رایج در عملیات بزرگ آنها، استفاده از روشهای نسبتاً غیرپیشرفته است که اغلب با فیشینگ شروع میشوند تا نقطه نفوذی در سیستمهای هدف پیدا کنند.»
بررسی حملات دیگر نشان میدهد تلاشهای هک کره شمالی احتمالاً به چند زیرگروه تقسیم شده که هر کدام سطح متفاوتی از پیچیدگی فنی دارند. این موضوع از طریق مثالهای مستند زیادی قابل مشاهده است؛ از رفتارهای ضعیف در گروههای جبههای که حملات مهندسی اجتماعی انجام میدهند تا تکنیکهای پیشرفته پس از نفوذ که در برخی هکهای شناختهشده به کار رفته است.
گروه لازاروس اصطلاحی است که شرکتهای امنیت سایبری و نهادهای اطلاعاتی غربی برای توصیف چند تیم هکری تحت فرمان رژیم کره شمالی استفاده میکنند.
در سال ۲۰۲۴، شرکت Chainalysis مقدار ۱٫۳۴ میلیارد دلار ارز دیجیتال سرقتشده را به بازیگران کره شمالی نسبت داد که معادل ۶۱٪ از کل سرقتها در آن سال طی ۴۷ حادثه بود. این میزان بالاترین رکورد تاکنون و افزایشی ۱۰۲ درصدی نسبت به ۶۶۰ میلیون دلار سرقتشده در سال ۲۰۲۳ است.
اما اسنیر لوی، بنیانگذار و مدیرعامل شرکت Nominis، هشدار میدهد که افزایش آگاهی از تاکتیکهای گروه لازاروس به معنای کاهش تهدید آنها نیست. او در گفتوگو با سایت Decrypt گفت: «گروه لازاروس از تکنیکهای متعددی برای سرقت ارزهای دیجیتال استفاده میکند.» و افزود: «با توجه به شکایاتی که از افراد دریافت میکنیم، میتوان فرض کرد این گروه روزانه در حال فریب افراد است.»
اندازه برخی از سرقتهای آنها شوکهکننده است. در فوریه، هکرها بیش از ۱٫۴ میلیارد دلار از صرافی Bybit سرقت کردند که این حمله نیز با فریب یک کارمند Safe Wallet برای اجرای کد مخرب آغاز شد. لوی گفت: «حتی حمله Bybit با مهندسی اجتماعی شروع شد.»
ازجمله دیگر کمپینها، حمله به Radiant Capital بود که در آن یک پیمانکار از طریق یک فایل PDF مخرب آلوده شد و یک درِ پشتی در سیستم نصب گردید. روشهای این حملات از فیشینگ پایه و آگهیهای شغلی جعلی تا تکنیکهای پیشرفته پسازدسترسی مانند تغییر قراردادهای هوشمند و دستکاری زیرساختهای ابری متغیر است.
افشای BitMEX به مجموعه رو به رشد شواهد در مورد استراتژیهای چندلایه گروه لازاروس میافزاید. این افشا پس از گزارشی در ماه مه توسط صرافی Kraken منتشر شد که در آن تلاش یک کاربر کره شمالی برای استخدام بررسی شده بود.
مسئولان آمریکایی و بینالمللی میگویند کره شمالی از سرقت ارز دیجیتال برای تامین مالی برنامههای تسلیحاتی خود استفاده میکند؛ برخی گزارشها میگویند این سرقتها ممکن است تا نیمی از بودجه توسعه موشکهای رژیم را تامین کند.
ویراستار: سباستین سینکلر
