Slow Fog Cosine: ยืนยันว่าเหตุการณ์ขโมย CEX ถูกโจมตีโดยกลุ่มแฮกเกอร์ Lazarus จากเกาหลีเหนือ วิธีการโจมตีของพวกเขาได้ถูกเปิดเผยแล้ว

ผู้ก่อตั้ง SlowMist, Yu Cosine, โพสต์บนโซเชียลมีเดียระบุว่าผ่านการวิเคราะห์หลักฐานและการติดตามที่เกี่ยวข้อง เราได้ยืนยันว่าผู้โจมตีในเหตุการณ์ขโมย CEX คือกลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group นี่เป็นการโจมตี APT ระดับรัฐที่มุ่งเป้าไปที่ แพลตฟอร์มการซื้อขายสกุลเงินดิจิทัล เราตัดสินใจที่จะแชร์ IOCs (Indicators of Compromise) ที่เกี่ยวข้อง ซึ่งรวมถึงผู้ให้บริการคลาวด์และพร็อกซี่บางรายที่ IP ถูกใช้ประโยชน์ ควรสังเกตว่าการเปิดเผยนี้ไม่ได้ระบุว่าแพลตฟอร์มหรือแพลตฟอร์มใดที่เกี่ยวข้อง และไม่ได้กล่าวถึง CEX โดยเฉพาะ; หากมีความคล้ายคลึงกันก็ไม่ใช่เรื่องที่เป็นไปไม่ได้

ผู้โจมตีใช้ pyyaml สำหรับ RCE (Remote Code Execution) เพื่อส่งโค้ดที่เป็นอันตรายและควบคุมคอมพิวเตอร์และเซิร์ฟเวอร์เป้าหมาย วิธีนี้สามารถหลีกเลี่ยงการสแกนซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้ หลังจากซิงโครไนซ์ข่าวกรองกับพันธมิตร ได้รับตัวอย่างที่เป็นอันตรายที่คล้ายกันหลายตัวอย่าง เป้าหมายหลักของผู้โจมตีคือการควบคุมกระเป๋าเงินโดยการบุกรุกโครงสร้างพื้นฐานของแพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลและโอนสินทรัพย์เข้ารหัสจำนวนมากจากกระเป๋าเงินเหล่านี้อย่างผิดกฎหมาย

SlowMist เผยแพร่บทความสรุปที่เปิดเผยวิธีการโจมตีของกลุ่ม Lazarus และวิเคราะห์การใช้กลยุทธ์ของพวกเขา เช่น วิศวกรรมสังคม การใช้ประโยชน์จากช่องโหว่ การยกระดับสิทธิ์ การเจาะเครือข่ายภายใน และการโอนเงิน เป็นต้น ในขณะเดียวกันจากกรณีจริงพวกเขาได้สรุปข้อเสนอแนะในการป้องกันการโจมตี APT โดยหวังว่าจะให้ข้อมูลอ้างอิงสำหรับอุตสาหกรรมช่วยให้องค์กรต่างๆ เพิ่มขีดความสามารถในการป้องกันความปลอดภัยลดผลกระทบจากภัยคุกคามที่อาจเกิดขึ้น