BitMEX حمله فیشینگ گروه لازاروس را ناکام کرد؛ تاکتیک‌های ساده هکرها

مفاهیم کلیدی

• BitMEX با شناسایی کد مخرب فیشینگ لازاروس را متوقف کرد

• یک IP مرتبط با عملیات کره‌شمالی در جیائشینگ چین شناسایی شد

• گروه لازاروس در ۲۰۲۴ بیش از ۱٫۳۴ میلیارد دلار ارز دیجیتال سرقت کرد

BitMEX حمله فیشینگ گروه لازاروس را ناکام گذاشت و تاکتیک‌های آن را «غیرپیشرفته» خواند

صرافی کریپتو BitMEX اعلام کرد که تلاشی برای حمله فیشینگ توسط گروه لازاروس، گروه بدنام مرتبط با کره شمالی، را خنثی کرده است و این حمله را با روش‌های «غیرپیشرفته» توصیف نمود.

در پستی در وبلاگ که در ۳۰ مه منتشر شد، این صرافی جزئیات حمله را تشریح کرد. طبق گزارش، یک کارمند از طریق لینکدین با وعده همکاری در یک پروژه NFT وب۳ تماس گرفت. مهاجم سعی داشت با فریب هدف، او را به اجرای یک پروژه در گیت‌هاب که حاوی کد مخرب بود، ترغیب کند؛ روشی که به گفته BitMEX از نشانه‌های همیشگی عملیات لازاروس است.

صرافی نوشت: «اگر با تاکتیک‌های لازاروس آشنا باشید، این تعامل تا حد زیادی شناخته‌شده است.» تیم امنیتی BitMEX بلافاصله payload جاوااسکریپت مبهم‌شده را شناسایی و آن را به زیرساخت‌هایی ردیابی کرد که قبلاً به این گروه مرتبط بود.

یک نقص احتمالی در امنیت عملیاتی نیز آشکار کرد که یکی از آدرس‌های IP مرتبط با عملیات کره شمالی در شهر جیائشینگ چین قرار دارد؛ حدود ۱۰۰ کیلومتر از شانگهای فاصله دارد.

BitMEX همچنین نوشت: «الگوی رایج در عملیات بزرگ آنها، استفاده از روش‌های نسبتاً غیرپیشرفته است که اغلب با فیشینگ شروع می‌شوند تا نقطه نفوذی در سیستم‌های هدف پیدا کنند.»

بررسی حملات دیگر نشان می‌دهد تلاش‌های هک کره شمالی احتمالاً به چند زیرگروه تقسیم شده که هر کدام سطح متفاوتی از پیچیدگی فنی دارند. این موضوع از طریق مثال‌های مستند زیادی قابل مشاهده است؛ از رفتارهای ضعیف در گروه‌های جبهه‌ای که حملات مهندسی اجتماعی انجام می‌دهند تا تکنیک‌های پیشرفته پس از نفوذ که در برخی هک‌های شناخته‌شده به کار رفته است.

گروه لازاروس اصطلاحی است که شرکت‌های امنیت سایبری و نهادهای اطلاعاتی غربی برای توصیف چند تیم هکری تحت فرمان رژیم کره شمالی استفاده می‌کنند.

در سال ۲۰۲۴، شرکت Chainalysis مقدار ۱٫۳۴ میلیارد دلار ارز دیجیتال سرقت‌شده را به بازیگران کره شمالی نسبت داد که معادل ۶۱٪ از کل سرقت‌ها در آن سال طی ۴۷ حادثه بود. این میزان بالاترین رکورد تاکنون و افزایشی ۱۰۲ درصدی نسبت به ۶۶۰ میلیون دلار سرقت‌شده در سال ۲۰۲۳ است.

اما اسنیر لوی، بنیان‌گذار و مدیرعامل شرکت Nominis، هشدار می‌دهد که افزایش آگاهی از تاکتیک‌های گروه لازاروس به معنای کاهش تهدید آنها نیست. او در گفت‌وگو با سایت Decrypt گفت: «گروه لازاروس از تکنیک‌های متعددی برای سرقت ارزهای دیجیتال استفاده می‌کند.» و افزود: «با توجه به شکایاتی که از افراد دریافت می‌کنیم، می‌توان فرض کرد این گروه روزانه در حال فریب افراد است.»

اندازه برخی از سرقت‌های آنها شوکه‌کننده است. در فوریه، هکرها بیش از ۱٫۴ میلیارد دلار از صرافی Bybit سرقت کردند که این حمله نیز با فریب یک کارمند Safe Wallet برای اجرای کد مخرب آغاز شد. لوی گفت: «حتی حمله Bybit با مهندسی اجتماعی شروع شد.»

ازجمله دیگر کمپین‌ها، حمله به Radiant Capital بود که در آن یک پیمانکار از طریق یک فایل PDF مخرب آلوده شد و یک درِ پشتی در سیستم نصب گردید. روش‌های این حملات از فیشینگ پایه و آگهی‌های شغلی جعلی تا تکنیک‌های پیشرفته پسازدسترسی مانند تغییر قراردادهای هوشمند و دستکاری زیرساخت‌های ابری متغیر است.

افشای BitMEX به مجموعه رو به رشد شواهد در مورد استراتژی‌های چندلایه گروه لازاروس می‌افزاید. این افشا پس از گزارشی در ماه مه توسط صرافی Kraken منتشر شد که در آن تلاش یک کاربر کره شمالی برای استخدام بررسی شده بود.

مسئولان آمریکایی و بین‌المللی می‌گویند کره شمالی از سرقت ارز دیجیتال برای تامین مالی برنامه‌های تسلیحاتی خود استفاده می‌کند؛ برخی گزارش‌ها می‌گویند این سرقت‌ها ممکن است تا نیمی از بودجه توسعه موشک‌های رژیم را تامین کند.

ویراستار: سباستین سینکلر