BitMEX vereitelt Hackerangriff der Lazarus-Gruppe, deckt Hacker-IPs und Sicherheitslücken auf

BitMEX hat den Schleier über einen gescheiterten Hackerangriff der Lazarus-Gruppe gelüftet und dabei schlampige Fehler eines Kollektivs aufgedeckt, das seit langem mit der Cyberkriegseinheit Nordkoreas in Verbindung steht.

Laut einem Blogbeitrag, der am Freitag von BitMEX veröffentlicht wurde, hat das Team nun ein internes Überwachungssystem eingerichtet, um weitere Infektionen aufzuspüren und möglicherweise zukünftige operative Sicherheitsfehler zu erkennen.

Alles begann damit, dass ein BitMEX- Mitarbeiter über LinkedIn kontaktiert wurde und ihm die Mitarbeit an einem gefälschten NFT-Marktplatzprojekt angeboten wurde. Da das Angebot jedoch einer bekannten Phishing-Taktik von Lazarus entsprach, meldete der Mitarbeiter es umgehend, woraufhin eine umfassende Untersuchung eingeleitet wurde.

Das Sicherheitsteam von BitMEX griff auf ein vom Angreifer freigegebenes GitHub-Repository zu, das ein Next.js/React-Projekt enthielt. Darin verbarg sich jedoch Code, der darauf abzielte, den Mitarbeiter dazu zu bringen, unwissentlich Schadcode auf seinem System auszuführen. Das Team führte den Code nicht aus, sondern analysierte ihn direkt.

BitMEX analysiert Schadsoftware und findet Lazarus-Fingerabdrücke

Im Repository suchten die BitMEX-Ingenieure nach dem Begriff „eval“, einem typischen Warnsignal für Malware. Eine Codezeile war zwar auskommentiert, ließ aber dennoch auf die Absicht schließen. Wäre der Code aktiv gewesen, hätte er die Domain „hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726“ kontaktiert, um ein Cookie abzurufen und auszuführen. Diese Domain war zuvor von Unit 42 von Palo Alto Networks, einem Team, das seit Jahren die Cyberaktivitäten Nordkoreas trac, mit Lazarus in Verbindung gebracht worden.

Eine weitere Zeile war aktiv. Sie sendete eine Anfrage an „hxxp://fashdefi[.]store:6168/defy/v5“ und führte die Antwort aus. BitMEX lud das JavaScript manuell herunter und stellte fest, dass es stark verschleiert war. Mithilfe von webcrack, einem Tool zur Code-Entschlüsselung, entfernte das Team die Verschleierungsebenen. Die endgültige Ausgabe war unübersichtlich, aber lesbar, da sie aussah, als wären drei verschiedene Skripte zu einem einzigen verschmolzen worden.

Ein Teil des Codes enthieltdentfür Chrome-Erweiterungen, was üblicherweise auf MalwaredentDiebstahl von Zugangsdaten hindeutet. Eine Zeichenkette, p.zi, ähnelte der älteren Lazarus-Malware, die in der BeaverTail-Kampagne eingesetzt wurde – einer weiteren Operation, die bereits von Unit 42 dokumentiert wurde. BitMEX entschied sich gegen eine erneute Analyse der BeaverTail-Komponente, da diese bereits öffentlich zugänglich war.

Stattdessen konzentrierten sie sich auf eine andere Entdeckung: den Code, der mit einer Supabase-Instanz verbunden war. Supabase ist eine Backend-Plattform für Entwickler, ähnlich wie Firebase. Das Problem? Die Lazarus-Entwickler hatten sie nicht ausreichend abgesichert. Als BitMEX dies testete, konnten sie direkt auf die Datenbank zugreifen – ohne Anmeldung, ohne jeglichen Schutz.

Hacker veröffentlichen Protokolle infizierter Geräte und ihre eigenen IP-Adressen

Die Supabase-Datenbank enthielt 37 Protokolle infizierter Rechner. Jeder Eintrag enthielt Benutzername, Hostname, Betriebssystem, IP-Adresse, Geolokalisierung und Zeitstempel. BitMEX erkannte Muster: Einige Geräte tauchten wiederholt auf und wurden daher als Entwickler- oder Testrechner identifiziert. Die meisten Hostnamen folgten dem Format 3-XXX.

Viele IPs stammten von VPN-Anbietern. Ein Nutzer namens „Victor“ verband sich häufig über Touch VPN. Ein anderer, „GHOST72“, nutzte Astrill VPN. Doch dann unterlief Victor ein Fehler. Ein mit ihm verknüpfter Eintrag wies eine andere IP-Adresse auf: 223.104.144.97, einedentIP-Adresse in Jiaxing, China, die zu China Mobile gehörte. Das war kein VPN. Es handelte sich wahrscheinlich um die tatsächliche IP-Adresse eines Lazarus-Betreibers. BitMEX stufte dies als schwerwiegenden Betriebsausfall ein.

BitMEX entwickelte daraufhin ein Tool, das die Supabase-Datenbank kontinuierlich abfragt. Seit dem 14. Mai hat das Tool 856 Einträge aus der Datenbank gesammelt, die bis zum 31. März zurückreichen. Darunter befanden sich 174 eindeutige Kombinationen aus Benutzernamen und Hostnamen. Das System läuft nun permanent und sucht nach neuen Infektionen oder weiteren Fehlern der Angreifer.

Durch die Analyse der Zeitstempel stellte BitMEX fest, dass die Aktivität von Lazarus zwischen 8:00 und 13:00 Uhr UTC (17:00 bis 22:00 Uhr in Pjöngjang) abnimmt. Dies deutet auf einen strukturierten Arbeitsplan hin und liefert einen weiteren Beweis dafür, dass es sich bei der Gruppe nicht nur um ein paar freiberufliche Hacker handelt, sondern um ein organisiertes Team.

Das Sicherheitsteam bestätigt das Lazarus-Muster und die interne Aufteilung

Die Lazarus-Gruppe ist für ihre Social-Engineering-Angriffe bekannt. Bei früherendentwie dem Bybit-Datendiebstahl brachten sie einen Mitarbeiter von Safe Wallet dazu, eine Schadsoftware auszuführen. Dadurch erlangten sie ersten Zugriff.

Dann übernahm ein anderer Teil des Teams, verschaffte sich Zugang zur AWS-Umgebung und veränderte den Frontend-Code, um Kryptowährungen aus Cold Wallets zu stehlen. BitMEX erklärte, dieses Vorgehen deute darauf hin, dass die Gruppe wahrscheinlich in mehrere Teams aufgeteilt sei – einige führten einfache Phishing-Angriffe durch, andere kümmerten sich um die fortgeschrittenen Angriffe, sobald sie Zugriff erlangt hatten.

BitMEX schrieb: „In den letzten Jahren hat sich die Gruppe offenbar in mehrere Untergruppen aufgespalten, die nicht unbedingt über das gleiche technische Know-how verfügen.“ Das Sicherheitsteam erklärte, diese Kampagne folge demselben Muster. Die erste Nachricht auf LinkedIn war simpel, das GitHub-Repository amateurhaft.

Das Post-Exploitation-Skript zeugte jedoch von deutlich mehr Können und war eindeutig von einem erfahreneren Entwickler erstellt worden. Nach der Entschlüsselung der Malware konnte BitMEX Indikatoren für eine Kompromittierung (IoCs)tracund in ihre internen Systeme einspeisen.

Sie benannten Variablen um, bereinigten das Skript und analysierten dessen Funktionsweise. Der Anfang des Codes war neu und Berichten zufolge Systemdaten (Benutzername, IP-Adresse usw.) direkt an Supabase, was tracfür jeden, der die offene Datenbank fand, erleichterte.

BitMEXdentauch die während der Entwicklung verwendeten Rechner. Beispiele hierfür waren Victor@3-KZH, das mit Touch VPN und China Mobile genutzt wurde. Andere, wie GHOST72@3-UJS-2 und Super@3-AHR-2, verwendeten eine Kombination aus Astrill, Zoog und Hotspot Shield. Die Protokolle zeigten sogar Benutzerkonten wie Admin@3-HIJ, Lenovo@3-RKS, GoldRock@DESKTOP-N4VEL23 und Muddy@DESKTOP-MK87CBC. Dies waren höchstwahrscheinlich Testumgebungen, die von den Angreifern eingerichtet worden waren.