Japonské a americké úřady v minulosti přisouhlasily krádeži kryptoměny v hodnotě 308 milionů dolarů od kryptoměnové společnosti DMM Bitcoin v květnu 2024 a přičítají ji severokorejským kyberaktérům. „Krádež je spojena s hrozbou TraderTraitor, která je také sledována pod názvy Jade Sleet, UNC4899 a Slow Pisces,“ uvedly agentury. „Aktivita TraderTraitor je často charakterizována cíleným sociálním inženýrstvím zaměřeným na více zaměstnanců stejné společnosti současně.“
Upozornění pochází od Federálního úřadu pro vyšetřování USA (FBI), Cyber Crime Center Ministerstva obrany a Národní policejní agentury Japonska. Stojí za zmínku, že DMM Bitcoin ukončila svou činnost začátkem tohoto měsíce v důsledku hacknutí.
TraderTraitor označuje konstantní hrozbu spojenou se severní Koreou, která má historii cílení na společnosti v sektoru Web3, lákání obětí ke stažení aplikací pro kryptoměny nahraných malwarem a konečně usnadnění krádeže. Je aktivní alespoň od roku 2020.
V posledních letech tato hackerská skupina organizovala sérii útoků, které využívají kampaně sociálního inženýrství tematizované na pracovní pozice nebo oslovení potenciálních cílů záminkou spolupráce na projektu GitHub, což následně vede k nasazení škodlivých npm balíčků.
Skupina je však možná nejznámější infiltrací a neoprávněným přístupem do systémů JumpCloud, aby v loňském roce cílela na malou skupinu downstream zákazníků.
Řetězec útoků dokumentovaný FBI není v žádném případě odlišný, neboť hrozební aktéři kontaktovali zaměstnance japonské společnosti Ginco, poskytující softwarové řešení pro kryptoměnové peněženky, v březnu 2024 a vydávali se za recruiterů, přičemž zaslali odkaz na škodlivý Python skript hostovaný na GitHubu jako součást předpokládaného testu před zaměstnáním.
„Oběť, která měla přístup k systému správy peněženek Ginco, byla následně kompromitována poté, co zkopírovala Python kód na svou osobní stránku na GitHubu.“
Adversář přistoupil k další fázi útoku v polovině května 2024, kdy zneužil informace z relace cookie k napodobení kompromitovaného zaměstnance a úspěšně získal přístup do nezašifrovaného komunikačního systému Ginco.
„Konec května 2024 aktéři pravděpodobně využili tento přístup k manipulaci legitimní žádosti o transakci od zaměstnance DMM, což mělo za následek ztrátu 4 502,9 BTC, což v době útoku odpovídalo hodnotě 308 milionů dolarů,“ uvedly agentury. „Ukrátené prostředky nakonec přešly na peněženky kontrolované TraderTraitor.“
Toto oznámení přichází krátce poté, co Chainalysis přisoudil hacknutí DMM Bitcoin severokorejským hrozebním aktérům, kteří využili zranitelnosti v infrastruktuře k neautorizovaným výběrům.
„Útočník přesunul kryptoměny v hodnotě milionů dolarů z DMM Bitcoin na několik mezilehlých adres, než nakonec dosáhl Bitcoin CoinJoin Mixing Service,“ uvedla blockchainová inteligentní firma.
„Po úspěšném promíchání ukradených prostředků pomocí Bitcoin CoinJoin Mixing Service část prostředků přesunuli přes řadu bridge servisů a nakonec na HuiOne Guarantee, online trh spojený s kambodžským konglomerátem HuiOne Group, který byl dříve odhalen jako významný hráč ve facilitaci kyberzločinů.“
Vývoj také přichází poté, co AhnLab Security Intelligence Center (ASEC) odhalil, že severokorejský hrozební aktér s kódovým jménem Andariel, podskupina v rámci Lazarus Group, nasazuje backdoor SmallTiger jako součást útoků zaměřených na jihokorejská řešení pro správu aktiv a centralizaci dokumentů.
Zdroj: thehackernews.com
Zdroj: CRYPTO WORLD NETWORK NEWS
