日本和美国当局曾将 2024 年 5 月加密货币公司 DMM Bitcoin 价值 3.08 亿美元的加密货币失窃事件归咎于朝鲜网络行为者。"此次失窃事件与 TraderTraitor 威胁活动有关,该威胁活动还被追踪为 Jade Sleet、UNC4899 和 Slow Pisces,"这些机构表示。 "该警报由美国联邦调查局(FBI)、国防部网络犯罪中心和日本警察厅发出。 值得注意的是,DMM 比特币公司在本月早些时候因黑客攻击而关闭了业务。 TraderTraitor 指的是一个与朝鲜有关的持续性威胁活动集群,该集群曾以 Web3 行业的公司为目标,诱使受害者下载带有恶意软件的加密货币应用程序,并最终促成盗窃。 据了解,它至少从 2020 年开始活跃。
近年来,该黑客组织策划了一系列攻击,利用以工作为主题的社交工程活动,或以合作开发 GitHub 项目为借口联系潜在目标,进而部署恶意 npm 软件包。 不过,该组织最著名的可能是去年渗透并未经授权访问 JumpCloud 的系统,将一小部分下游客户作为攻击目标。
联邦调查局记录的攻击链与此并无不同,威胁行为者于 2024 年 3 月联系了日本一家名为 Ginco 的加密货币钱包软件公司的一名员工,冒充招聘人员向其发送了一个指向 GitHub 上托管的恶意 Python 脚本的 URL,作为所谓的入职前测试的一部分。
受害者可以访问 Ginco 的钱包管理系统,但在他们将 Python 代码复制到个人 GitHub 页面后,他们的系统就被入侵了。 2024 年 5 月中旬,敌人进入了攻击的下一阶段,他们利用会话 cookie 信息冒充被入侵的员工,并成功访问了 Ginco 的未加密通信系统。
"2024年5月下旬,行为者很可能利用这一权限操纵了DMM一名员工的合法交易请求,导致4,502.9 BTC丢失,攻击发生时价值3.08亿美元,"这些机构说。 "被盗资金最终转移到 TraderTraitor 控制的钱包中。
Chainalysis将DMM比特币的黑客攻击归咎于朝鲜威胁行为者,并称攻击者利用基础设施的漏洞进行未经授权的提款。 区块链情报公司表示:"攻击者将价值数百万美元的加密货币从DMM比特币转移到多个中间地址,最终到达比特币CoinJoin混合服务。
"攻击者利用 Bitcoin CoinJoin Mixing Service 成功混合了被盗资金后,又通过一些桥接服务转移了部分资金,最后转移到 HuiOne Guarantee,这是一个与柬埔寨企业集团 HuiOne Group 有关联的在线市场,该集团之前被曝出在为网络犯罪提供便利方面扮演了重要角色。此外,AhnLab 安全情报中心(ASEC)透露,代号为 "Andariel "的朝鲜威胁行为者(Lazarus Group 的一个子集群)正在部署 SmallTiger 后门,作为针对韩国资产管理和文档集中解决方案的攻击的一部分。
信息来源:https://thehackernews.com/2024/12/north-korean-hackers-pull-off-308m.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局