Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
- BitMEX ha fermato un tentativo di attacco informatico del gruppo Lazarus, iniziato con una falsa offerta su LinkedIn.
- Gli hacker hanno utilizzato codice dannoso in un repository GitHub per cercare di ingannare un dipendente di BitMEX.
- BitMEX ha trovato log Supabase esposti con IP, nomi utente e macchine infette reali.
BitMEX ha svelato un fallito tentativo di hacking da parte del Lazarus Group, mettendo in luce gli errori grossolani commessi da un collettivo da tempo legato all'unità di guerra informatica della Corea del Nord.
Secondo un post sul blog pubblicato venerdì da BitMEX, il team ha ora istituito un sistema di monitoraggio interno per individuare ulteriori infezioni e, possibilmente, individuare futuri errori di sicurezza operativa.
Tutto è iniziato quando un di BitMEX è stato contattato su LinkedIn con una proposta di lavoro su un falso NFT , ma l'offerta corrispondeva a una nota tattica di phishing utilizzata da Lazarus, quindi il dipendente lo ha segnalato immediatamente, avviando un'indagine completa.
Il team di sicurezza di BitMEX ha avuto accesso a un repository GitHub condiviso dall'aggressore, contenente un progetto Next.js/React. Ma al suo interno era nascosto un codice progettato per indurre il dipendente a eseguire inconsapevolmente un payload dannoso sul proprio sistema. Il team non ha eseguito il codice, ma è passato direttamente all'analisi.
BitMEX analizza il malware e trova le impronte digitali di Lazarus
All'interno del repository, gli ingegneri di BitMEX hanno cercato il termine "eval", un segnale d'allarme comune nei malware. Una riga di codice era stata commentata, ma rivelava comunque un intento. Se attivo, avrebbe contattato "hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726" per recuperare un cookie ed eseguirlo. Quel dominio era stato precedentemente collegato a Lazarus dall'Unità 42 di Palo Alto Networks, un team che tracl'attività informatica della RPDC da anni.
Un'altra riga era attiva. Inviava una richiesta a "hxxp://fashdefi[.]store:6168/defy/v5" ed eseguiva la risposta. BitMEX ha recuperato manualmente quel codice JavaScript e ha scoperto che era pesantemente offuscato. Utilizzando webcrack, uno strumento per la deoffuscazione del codice, il team sarebbe riuscito a rimuovere i vari strati di offuscamento. Il risultato finale era disordinato ma leggibile, poiché sembrava che tre script diversi fossero stati fusi insieme.
Una parte del codice contenevadentper le estensioni di Chrome, che solitamente indicano la presenza di malware che rubanodent. Una stringa, p.zi, assomigliava a un vecchio malware Lazarus utilizzato nella campagna BeaverTail, un'altra operazione precedentemente documentata da Unit 42. BitMEX ha deciso di non rianalizzare il componente BeaverTail, poiché era già pubblico.
Si sono invece concentrati su un'altra scoperta: il codice connesso a un'istanza di Supabase. Supabase è una piattaforma backend per sviluppatori, simile a Firebase. Il problema? Gli sviluppatori di Lazarus non l'avevano protetta. Quando BitMEX l'ha testata, è riuscita ad accedere direttamente al database, senza login e senza alcuna protezione.
Gli hacker espongono i registri dei dispositivi infetti e i propri IP
Il database di Supabase conteneva 37 log di macchine infette. Ogni voce riportava nome utente, nome host, sistema operativo, indirizzo IP, geolocalizzazione e timestamp. BitMEX ha notato degli schemi ricorrenti: alcuni dispositivi apparivano ripetutamente, il che li distingueva come macchine per sviluppatori o test. Il formato di denominazione per la maggior parte dei nomi host seguiva una struttura 3-XXX.
Molti IP provenivano da provider VPN. Un utente, "Victor", si connetteva spesso tramite Touch VPN. Un altro, "GHOST72", utilizzava Astrill VPN. Ma poi Victor ha sbagliato. Una voce collegata a lui aveva un IP diverso: 223.104.144.97, un IPdenta Jiaxing, in Cina, sotto China Mobile. Non si trattava di una VPN. Probabilmente era il vero indirizzo IP di un operatore Lazarus. BitMEX lo ha segnalato come un grave errore operativo.
BitMEX ha quindi sviluppato uno strumento per effettuare il ping del database Supabase. Dal 14 maggio, lo strumento ha raccolto 856 voci dal database, risalenti al 31 marzo. Tra queste, 174 combinazioni univoche di nomi utente e nomi host. Il sistema ora è in esecuzione ininterrottamente, alla ricerca di nuove infezioni o ulteriori errori da parte degli aggressori.
Esaminando i timestamp, BitMEX ha scoperto che l'attività di Lazarus diminuisce tra le 8:00 e le 13:00 UTC, ovvero dalle 17:00 alle 22:00 a Pyongyang. Questo corrisponde a un orario di lavoro strutturato, a ulteriore prova che il gruppo non è composto solo da hacker freelance, ma da un team organizzato.
Il team di sicurezza conferma il modello Lazarus e la divisione interna
Il gruppo Lazarus ha una storia nota di attacchi di ingegneria sociale. In precedentident, come la violazione di Bybit, hanno ingannato un dipendente di Safe Wallet inducendolo a eseguire un file dannoso. Questo ha consentito loro di ottenere l'accesso iniziale.
Poi un'altra parte del team ha preso il sopravvento, ha avuto accesso all'ambiente AWS e ha modificato il codice front-end per rubare criptovalute dai cold wallet. BitMEX ha affermato che questo schema mostra che il gruppo è probabilmente suddiviso in più team: alcuni si occupano del phishing di base, altri gestiscono le intrusioni avanzate una volta ottenuto l'accesso.
BitMEX ha scritto: "Negli ultimi anni, sembra che il gruppo si sia diviso in più sottogruppi che non sono necessariamente dello stesso livello di sofisticatezza tecnica". Il team di sicurezza ha affermato che questa campagna ha seguito lo stesso schema. Il messaggio iniziale su LinkedIn era semplice, il repository GitHub dilettantesco.
Ma lo script post-exploitation ha dimostrato molta più abilità, chiaramente sviluppato da qualcuno più esperto. Dopo aver deoffuscato il malware, BitMEX è stata in grado ditracgli Indicatori di Compromissione (IoC) e di inserirli nei propri sistemi interni.
Hanno rinominato le variabili, ripulito lo script e analizzato il suo funzionamento. La prima parte del codice era nuova e, a quanto pare, inviava i dati di sistema (nome utente, IP, ecc.) direttamente a Supabase, facilitando trac... per chiunque trovasse il database pubblico.
BitMEX ha anchedentle macchine utilizzate durante lo sviluppo. Tra gli esempi c'era Victor@3-KZH, utilizzato con Touch VPN e China Mobile. Altri, come GHOST72@3-UJS-2 e Super@3-AHR-2, utilizzavano un mix di Astrill, Zoog e Hotspot Shield. I log mostravano persino account utente come Admin@3-HIJ, Lenovo@3-RKS, GoldRock@DESKTOP-N4VEL23 e Muddy@DESKTOP-MK87CBC. Si trattava probabilmente di ambienti di test creati dagli aggressori.
Non limitarti a leggere le notizie sulle criptovalute. Cerca di capirle. Iscriviti alla nostra newsletter. È gratis.
Disclaimer. Le informazioni fornite non costituiscono consulenza finanziaria. Cryptopolitandi declina ogni responsabilità per gli investimenti effettuati sulla base delle informazioni contenute in questa pagina. Raccomandiamotrondentdentdentdentdentdentdentdent e/o di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
CORSO
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)