قالت Bitmex إنها أحبطت محاولة لتصيد التصيد من قبل مجموعة Lazarus ، واصفًا المحاولة بأنها استخدام أساليب التصيد “غير المتطورة” من قبل المجموعة المرتبطة بكوريا الشمالية سيئة السمعة.
في منشور مدونة المنشورة في 30 مايو ، قامت تبادل التشفير بالتفصيل كيف تم الاتصال بالموظف عبر LinkedIn تحت ستار تعاون Web3 NFT.
حاول المهاجم جذب الهدف إلى تشغيل مشروع GitHub الذي يحتوي على رمز ضار على جهاز الكمبيوتر الخاص بهم ، وهو تكتيك تقول الشركة إنه أصبح سمة مميزة لعمليات Lazarus.
“التفاعل معروف إلى حد كبير إذا كنت على دراية بتكتيكات لازاروس” ، كتب Bitmex ، مضيفًا أن فريق الأمن سرعان ما حدد حمولة JavaScript المفرطة وتتبعها إلى البنية التحتية المرتبطة سابقًا بالمجموعة.
وكشف الفشل المحتمل في الأمن التشغيلي أيضًا أن أحد عناوين IP المرتبطة بعمليات كوريا الشمالية كان يقع في مدينة جياكينغ ، الصين ، على بعد حوالي 100 كم من شنغهاي.
وكتبت Bitmex: “هناك نمط شائع في عملياتهم الرئيسية هو استخدام طرق غير متطورة نسبيًا ، وغالبًا ما تبدأ بالتصيد ، لاكتساب موطئ قدم في أنظمة هدفهم”.
عند فحص الهجمات الأخرى ، لوحظ أن جهود القرصنة في كوريا الشمالية من المحتمل أن تنقسم إلى مجموعات فرعية متعددة مع مستويات مختلفة من التطور الفني.
وقالت “يمكن ملاحظة ذلك من خلال العديد من الأمثلة الموثقة للممارسات السيئة القادمة من هذه المجموعات” الخطوط الأمامية “التي تنفذ هجمات الهندسة الاجتماعية بالمقارنة مع تقنيات ما بعد الاستغلال الأكثر تطوراً المطبقة في بعض هذه الاختراقات المعروفة”.
مجموعة Lazarus هي مصطلح مظلة تستخدمها شركات الأمن السيبراني ووكالات الاستخبارات الغربية لوصف العديد من فرق المتسللين التي تعمل تحت إشراف النظام الكوري الشمالي.
في عام 2024 ، سلسلة نسبت 1.34 مليار دولار من التشفير المسروقي للممثلين الكوريين الشماليين ، وهو ما يمثل 61 ٪ من جميع السرقات في ذلك العام عبر 47 حادثًا ، وهو رقم قياسي وزيادة بنسبة 102 ٪ على أكثر من 2023 مبلغًا قدره 660 مليون دولار.
لا يزال تهديدًا
ولكن بصفته مؤسسًا ورئيسًا تنفيذيًا لـ Nominis ، يحذر Snir Levi ، فإن المعرفة المتزايدة بتكتيكات مجموعة Lazarus لا تجعلهم بالضرورة أقل تهديدًا.
وقال “مجموعة لازاروس تستخدم تقنيات متعددة لسرقة العملات المشفرة”. فك تشفير. “بناءً على الشكاوى التي نجمعها من الأفراد ، يمكننا أن نفترض أنهم يحاولون الاحتيال على الناس على أساس يومي.”
كان حجم بعض عمليات السحب الصادمة.
في فبراير ، المتسللين استنزفت أكثر من 1.4 مليار دولار من BYBIT ، أصبحت ممكنة من قبل المجموعة خداع موظف في محفظة آمنة في تشغيل رمز ضار على جهاز الكمبيوتر الخاص بهم.
“حتى اختراق BYBIT بدأ بالهندسة الاجتماعية” ، قال ليفي.
تشمل الحملات الأخرى Radiant Capital ، حيث تم اختراق المقاول عبر ملف PDF ضار قام بتثبيت الباب الخلفي.
تتراوح أساليب الهجوم من التصيد الأساسي وعروض الوظائف المزيفة إلى تكتيكات ما بعد الوصول المتقدمة مثل العبث بالعقد الذكي ومعالجة البنية التحتية السحابية.
يضيف الكشف عن Bitmex إلى مجموعة متزايدة من الأدلة التي توثق الاستراتيجيات المتعددة الطبقات لمجموعة Lazarus. يتبع تقريرًا آخر في مايو من Kraken ، حيث الشركة موصوفة محاولة من قبل كوريا الشمالية للحصول على توظيف.
قال المسؤولون الأمريكيون والدوليون إن كوريا الشمالية تستخدم سرقة التشفير لتمويل برامج الأسلحة الخاصة بها ، حيث قدرت بعض التقارير أنها قد توفر ما يصل إلى نصف ميزانية تطوير الصواريخ في النظام.
حرره سيباستيان سنكلير
