BitMEX schlägt zurück: Lazarus-Hackversuch gescheitert – IP- und OPS-Fehler der Angreifer aufgedeckt
Die Kryptobörse BitMEX hat einen Angriff der berüchtigten Lazarus Group vereitelt – und dabei peinliche Sicherheitslücken der Hacker offengelegt.
Die nordkoreanische Hackergruppe, bekannt für ihre raffinierte Malware, scheiterte an BitMEXs Sicherheitssystemen. Die Börse identifizierte nicht nur den Angriffsversuch, sondern dokumentierte auch die IP-Adressen und operativen Fehler (OPS) der Angreifer.
Ein klassischer Fall von ‚zu gierig, um clever zu sein‘ – wer mit Lazarus spielt, sollte wenigstens seine VPN-Rechnung bezahlt haben.
Bitmex seziert Malware, findet Lazarus -Fingerabdrücke
Im Rahmen des Repo suchten Bitmex -Ingenieure nach dem Begriff Eval, einer gemeinsamen roten Fahne in Malware. Eine Codezeile wurde kommentiert, aber es enthüllte immer noch die Absicht. Wenn es aktiv ist, hätte es sich an „hxxp: // RegionCheck [.] Net/api/user/drittercookie/v3/726“ gewandt, um ein Cookie zu holen und auszuführen. Diese Domäne war zuvor von der Unit 42 von Palo Alto Networks mit Lazarus mit Lazarus in Verbindung gebracht worden, einem Team, das seit Jahren tracKed DPRK -Cyberaktivität ist.
Eine andere Linie war aktiv. Es sandte eine Anfrage an "hxxp: // fash defi [.] Store: 6168/Defy/v5" und führte die Antwort aus. Bitmex hat diesen JavaScript manuell abgerufen und stellte fest, dass es stark verschleiert wurde. Mit Webcrack, einem Tool für Deobfuscating -Code, zog das Team Berichten zufolge die Ebenen aus. Die endgültige Ausgabe war chaotisch, aber lesbar, da es so aussah, als würden drei verschiedene Skripte in einen zerschlagen.
Ein Teil des CodesdentIfiers für Chromverlängerungen, was normalerweise auf die Diebstahl von Malwaredent. Eine String, P.Zi, sah aus wie ältere Lazarus-Malware, die in der Beavertail-Kampagne verwendet wurde, ein weiterer Vorgang, der zuvor von Unit 42 dokumentiert wurde. Bitmex beschloss, die Beavertail-Komponente nicht neu zu analysieren, da sie bereits öffentlich war.
Stattdessen konzentrierten sie sich auf eine andere Entdeckung: den mit einer Supabase -Instanz verbundenen Code. Supabase ist eine Backend -Plattform für Entwickler, ähnlich wie Firebase. Das Problem? Die Lazarus -Entwickler haben es nicht abgeschlossen. Als Bitmex es testete, konnten sie direkt auf die Datenbank zugreifen - keine Anmeldung, kein Schutz.
Hacker enthüllen infizierte Geräteprotokolle und ihre eigenen IPs
Die Supabase -Datenbank hatte 37 Protokolle infizierter Maschinen. Jeder Eintrag zeigte den Benutzernamen, den Hostnamen, den Betriebssystem, die IP -Adresse, die Geolokalisierung und den Zeitstempel. Bitmex bemerkte Muster - einige Geräte erschienen wiederholt, wodurch sie als Entwickler oder Testautomaten hervorgegangen waren. Das Namensformat für die meisten Hostnamen folgte einer 3-XXX-Struktur.
Viele IPs kamen von VPN -Anbietern. Ein Benutzer, "Victor", oft mit Touch VPN verbunden. Ein anderer "Ghost72" verwendete Astrill VPN. Aber dann hat Victor es vermasselt. Ein mit ihm verbundener Eintrag hatte eine andere IP -223.104.144.97, einedentin Jiaxing, China, unter China Mobile. Das war kein VPN. Dies war wahrscheinlich die eigentliche IP -Adresse eines Lazarus -Operators. Bitmex machte es als ein großer Ops -Fehler.
Bitmex erstellte dann ein Tool, um die Supabase -Datenbank weiter zu pingen. Seit dem 14. Mai hat das Tool 856 Einträge aus der Datenbank gesammelt, die bis zum 31. März zurückreicht. Unter ihnen gab es 174 einzigartige Kombinationen von Benutzernamen und Hostnamen. Das System läuft jetzt kontinuierlich und sucht nach neuen Infektionen oder mehr Fehlern der Angreifer.
Durch die Untersuchung von Zeitstempeln stellte Bitmex fest, dass die Aktivität von Lazarus zwischen 8 Uhr und 13 Uhr UTC sinkt, was in Pjöngjang um 17.00 bis 22.00 Uhr liegt. Dies entspricht einem strukturierten Arbeitsplan, der weitere Beweise dafür gibt, dass die Gruppe nicht nur einige freiberufliche Hacker ist - es ist ein organisiertes Team.
Sicherheitsteam bestätigt das Lazarus -Muster und die interne Split
Die Lazarus -Gruppe hat eine bekannte Geschichte von Social Engineering -Angriffen. In früheren Incidentwie der Bitbit -Verstoß haben sie einen Mitarbeiter von Safe Wallet in die Führung einer böswilligen Datei ausgelöst. Das gab ihnen einen ersten Zugang.
Dann übernahm ein weiterer Teil des Teams die AWS-Umgebung und änderte den Front-End-Code, um Krypto aus kalten Geldbörsen zu stehlen. Laut Bitmex zeigt dieses Muster, dass die Gruppe wahrscheinlich in mehrere Teams aufgeteilt ist - einige, die das grundlegende Phishing durchführen, andere, die mit den fortgeschrittenen Intrusionen umgehen, sobald der Zugriff gewonnen wird.
Bitmex schrieb: "In den letzten Jahren scheint sich die Gruppe in mehrere Untergruppen unterteilt, die nicht unbedingt die gleiche technische Raffinesse haben." Das Sicherheitsteam sagte, diese Kampagne habe derselben Vorlage verfolgt. Die erste Nachricht auf LinkedIn war einfach, das Github Repo Amateurish.
Das Skript nach der Ausbeutung zeigte jedoch weitaus mehr Fähigkeiten, die von jemandem, der erfahren wurde, eindeutig aufgebaut wurde. Nachdem Bitmex die Malware deobfuscrescinging the malsware ausgebaut hatte,tracsie Kompromisse (IOCs) und füttern sie in ihre internen Systeme.
Sie benannten Variablen um, reinigten das Drehbuch und folgten dem Funktionieren der Funktionsweise. Der frühe Teil des Codes war neu, und Berichten zufolge sendete er Systemdaten (Benutzername, IP usw.) direkt in Supabase, wodurch trac King einfach wurde… für alle, die die offene Datenbank gefunden haben.
Bitmexdentauch iFied -Maschinen, die während der Entwicklung verwendet werden. Beispiele waren Victor@3-kzh, das mit Touch VPN und China Mobile verwendet wurde. Andere wie Ghost72@3-UJS-2 und Super@3-AHR-2 verwendeten eine Mischung aus Astrill, Zoog und Hotspot Shield. Protokolle zeigten sogar Benutzerkonten wie Admin@3-Hij, Lenovo@3-RKs, Goldrock@Desktop-n4vel23 und Muddy@Desktop-mk87CBC. Dies waren wahrscheinlich Testumgebungen, die von den Angreifern eingerichtet wurden.
Key Differenzdraht hilft Crypto -Marken, die Schlagzeilen schnell durchzubrechen und zu dominieren
