- Penyerang mengeksploitasi kerentanan React2Shell dan mencuri kredensial AWS untuk mengakses sistem.
- Peretas mencari infrastruktur cloud untuk kunci pribadi, kredensial, dan kode sumber pertukaran.
- Bukti dan taktik mengarah ke kelompok dunia maya Korea Utara yang menargetkan industri kripto.
Kampanye peretasan canggih yang menargetkan jantung industri cryptocurrency telah diekspos oleh perusahaan keamanan siber Ctrl-Alt-Intel, dan sidik jari yang ditinggalkan menunjukkan kemungkinan hubungan dengan aktor ancaman Korea Utara .
Pembobolan
Para penyerang menggunakan beberapa titik masuk. Dalam beberapa kasus, mereka mengeksploitasi React2Shell, kerentanan dalam kerangka web populer, memindai internet untuk platform kripto yang menjalankan perangkat lunak yang sudah ketinggalan zaman.
Dalam contoh lain, penyerang tampaknya sudah memiliki kredensial Amazon Web Services yang valid, memungkinkan mereka memasuki lingkungan cloud bursa kripto tanpa memicu metode intrusi yang khas. Bagaimana kredensial itu diperoleh masih belum diketahui.
Penjarahan Metodis
Apa yang terjadi selanjutnya bukanlah smash-and-grab. Itu adalah pencarian yang hati-hati, ruangan demi kamar dari seluruh infrastruktur digital. Para penyerang menyisir bucket penyimpanan cloud untuk berburu kunci pribadi dan file konfigurasi.
Mereka melacak melalui cetak biru infrastruktur untuk mencari kata sandi database. Mereka menguji koneksi jaringan, dan ketika satu database terbukti tidak dapat dijangkau, mereka hanya mengonfigurasinya ulang agar dapat diakses dan terhubung secara publik.
Kemudian datanglah hadiah yang sebenarnya. Lima gambar kontainer Docker berpemilik, pada dasarnya kode sumber yang dikemas dari pertukaran mata uang kripto langsung, ditarik dan diambil. Repositori pribadi dikloning.
Rahasia aplikasi dan kredensial hardcode dipanen dari brankas cloud, kluster Kubernetes, dan kontainer langsung. Satu platform staking memiliki seluruh backend yang dilucuti, termasuk kunci dompet pribadi. Sejumlah kecil cryptocurrency ditransfer dari alamat terkait tak lama setelah itu.
Jalan Kembali ke Pyongyang
Para peneliti berhati-hati dengan bahasa mereka, berhenti untuk menuduh secara definitif. Tetapi bukti yang mereka kumpulkan, penargetan sistematis bisnis kripto, alat yang digunakan, pola infrastruktur, dan sifat dari apa yang dicuri selaras erat dengan aktor ancaman Korea Utara yang telah menghabiskan waktu bertahun-tahun menyerbu industri kripto untuk menghasilkan mata uang keras untuk rezim yang tercekik sanksi.
Untuk mengaburkan jejak mereka, para penyerang mengarahkan aktivitas mereka melalui node VPN Korea Selatan, lapisan salah arah yang dirancang untuk memperumit jenis penyelidikan yang akhirnya menangkap mereka.
Ctrl-Alt-Intel telah memberi tahu perusahaan yang terkena dampak. Industri lainnya telah diberitahukan.
Terkait: Aktivitas Kripto oleh Negara yang Terkena Sanksi Meluas di Seluruh Jaringan Global
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
