BitMEX frustra ciberataque del Grupo Lazarus: expone fallas críticas en tácticas hackers

El intercambio de criptomonedas BitMEX ha bloqueado con éxito un intento de hackeo por parte del infame Grupo Lazarus, revelando vulnerabilidades clave en sus operaciones.

Los hackers—vinculados a Corea del Norte—mostraron errores elementales en sus direcciones IP y procedimientos, dejando rastros digitales como principiantes. ¿Tanto hype para esto?

Mientras los exchanges tradicionales siguen luchando con regulaciones del siglo XX, BitMEX demuestra que la seguridad descentralizada funciona. Ironías de la ’financiación moderna’.

BitMex disecciona malware, encuentra huellas digitales de Lázaro

Dentro del repositorio, los ingenieros de BitMex buscaron el término evaluación, una bandera roja común en malware. Se había comentado una línea de código, pero aún reveló la intención. Si está activo, habría llegado a "hxxp: // regionCheck [.] Net/api/user/tercerokie/v3/726" para obtener una cookie y ejecutarla. Ese dominio había sido vinculado previamente a Lázaro por la Unidad 42 de Palo Alto Networks, un equipo que es una actividad cibernética tracked dprk durante años.

Otra línea estaba activa. Envió una solicitud a "Hxxp: // Fash defi [.] Store: 6168/defy/v5" y ejecutó la respuesta. BitMex obtuvo manualmente JavaScript y descubrió que estaba muy ofuscado. Utilizando WebCrack, una herramienta para el código deobfuscación, el equipo supuestamente retiró las capas. La salida final fue desordenada pero legible, ya que parecía tres scripts diferentes aplastados en uno.

Una parte del códigodentI Ifiers para extensiones de cromo, que generalmente apunta a malware de robo dedent. Una cadena, P.Zi, parecía malware de Lázaro más antiguo utilizado en la campaña Beaverail, otra operación previamente documentada por la Unidad 42. BitMex decidió no volver a analizar el componente Beaverail, ya que ya era público.

En cambio, se centraron en otro descubrimiento: el código conectado a una instancia de Supabase. Supabase es una plataforma de backend para desarrolladores, algo así como Firebase. El problema? Los desarrolladores de Lázaro no lo bloquearon. Cuando BitMex lo probó, pudieron acceder directamente a la base de datos, sin inicio de sesión, sin protección.

Los piratas informáticos exponen registros de dispositivos infectados y sus propios IPS

La base de datos de Supabase tenía 37 registros de máquinas infectadas. Cada entrada mostró el nombre de usuario, el nombre de host, el sistema operativo, la dirección IP, la geolocalización y la marca de tiempo. BitMex notaron patrones: algunos dispositivos aparecieron repetidamente, lo que los hizo destacar como desarrollador o máquinas de prueba. El formato de nombres para la mayoría de los nombres de host siguió a una estructura 3-XXX.

Muchos IPS vinieron de proveedores de VPN. Un usuario, "Victor", a menudo conectado usando Touch VPN. Otro, "Ghost72", usó Astrill VPN. Pero luego Víctor se equivocó. Una entrada vinculada a él tenía una IP diferente: 223.104.144.97, una IPdenten Jiaxing, China, bajo China Mobile. Eso no fue una VPN. Esa era probablemente la dirección IP real de un operador de Lázaro. BitMex lo marcó como una gran falla OPS.

BitMex luego construyó una herramienta para seguir haciendo ping a la base de datos Supabase. Desde el 14 de mayo, la herramienta ha recopilado 856 entradas de la base de datos, que se remonta al 31 de marzo. Entre ellos, hubo 174 combinaciones únicas de nombres de usuario y nombres de host. El sistema ahora funciona continuamente, buscando nuevas infecciones o más errores de los atacantes.

Al examinar las marcas de tiempo, BitMex descubrió que la actividad de Lázaro cae entre 8 a.m. y 1 p.m. UTC, que es de 5 p.m. a 10 p.m. en Pyongyang. Esto coincide con un horario de trabajo estructurado, dando más pruebas que el grupo no es solo algunos piratas informáticos independientes, es un equipo organizado.

El equipo de seguridad confirma el patrón de Lazarus y la división interna

El grupo Lázaro tiene una historia conocida de ataques de ingeniería social. Endentanteriores como la violación de Bybit, engañaron a un empleado en Safe Wallet para ejecutar un archivo malicioso. Eso les dio acceso inicial.

Luego, otra parte del equipo se hizo cargo, accedió al entorno AWS y cambió el código frontal para robar criptografía de las billeteras frías. BitMex dijo que este patrón muestra que el grupo probablemente se divide en múltiples equipos: algunos haciendo el phishing básico, otros que manejan las intrusiones avanzadas una vez que se obtiene el acceso.

BitMex escribió: "Durante los últimos años, parece que el grupo se ha dividido en múltiples subgrupos que no son necesariamente de la misma sofisticación técnica". El equipo de seguridad dijo que esta campaña siguió esa misma plantilla. El mensaje inicial en LinkedIn fue simple, el Github Repo Amateurish.

Pero el guión posterior a la explotación mostró mucha más habilidad, claramente construida por alguien con más experiencia. Después de desobfuscar el malware, BitMex pudotracindicadores de compromiso (COI) y alimentarlos en sus sistemas internos.

Renombraron variables, limpiaron el guión y siguieron cómo funcionó. La primera parte del código era nueva y, según los informes, envió datos del sistema (nombre de usuario, IP, etc.) directamente a Supabase, trac King ... para cualquiera que encontrara la base de datos abierta.

BitMex también medentlas máquinas utilizadas durante el desarrollo. Los ejemplos incluyeron Victor@3-Kzh, que se usó con Touch VPN y China Mobile. Otros como Ghost72@3-UJS-2 y Super@3-ahr-2 usaron una mezcla de escudo Astrill, Zoog y Hotspot. Los registros incluso mostraron cuentas de usuario como Admin@3-HIJ, Lenovo@3-rks, GoldRock@Desktop-N4Vel23 y Muddy@Desktop-MK87CBC. Estos fueron probables entornos de prueba establecidos por los atacantes.

Key Difference Wire ayuda a las marcas criptográficas a romper y dominar los titulares rápidamente