Key takeaways
- Noord-Koreaanse cybercriminelen zijn officieel in verband gebracht met de diefstal van 308 miljoen dollar aan cryptocurrency van DMM Bitcoin.
- TraderTraitor, een bedreigingsgroep die bekend staat als Jade Sleet, UNC4899 en Slow Pisces, gebruikt vaak geavanceerde social engineering-tactieken die gericht zijn op meerdere werknemers binnen hetzelfde bedrijf tegelijk.
- De aanvallers maakten gebruik van sessiecookie-informatie om zich voor te doen als een gecompromitteerde werknemer en ongeautoriseerde toegang te krijgen tot het onversleutelde communicatiesysteem van Ginco.
Noord-Koreaanse cyberaanvallers gelinkt aan DMM Bitcoin Heist
Japanse en Amerikaanse autoriteiten hebben officieel Noord-Koreaanse cybercriminelen in verband gebracht met de diefstal van 308 miljoen dollar aan cryptocurrency van DMM Bitcoin in mei 2024. Dit incident wordt toegeschreven aan een dreigersgroep die bekend staat als TraderTraitor, ook bekend onder aliassen als Jade Sleet, UNC4899 en Slow Pisces. Deze cybercriminelen maken vaak gebruik van geavanceerde social engineering-tactieken en richten zich op meerdere werknemers binnen hetzelfde bedrijf tegelijk.
Gezamenlijk alarm en DMM Bitcoin staakt activiteiten
De gezamenlijke waarschuwing werd uitgegeven door het U.S. Federal Bureau of Investigation, het Department of Defense Cyber Crime Center en het National Police Agency van Japan. Het is opmerkelijk dat DMM Bitcoin zijn activiteiten eerder deze maand heeft gestaakt. TraderTraitor, een cluster van aanhoudende bedreigingen met banden met Noord-Korea, heeft een geschiedenis van het aanvallen van bedrijven in de Web3-sector. Hun modus operandi bestaat uit het verleiden van slachtoffers tot het downloaden van kwaadaardige cryptocurrency-toepassingen die zijn doorspekt met malware, wat uiteindelijk leidt tot diefstal.
De aanvalsmethoden en geschiedenis van TraderTraitor
De aanvallen van TraderTraitor bestaan vaak uit social engineering-campagnes met een functiethema of het benaderen van potentiële doelwitten onder het mom van samenwerking aan een GitHub-project. Dit resulteert vaak in de inzet van schadelijke npm-pakketten. De groep is bekend geworden door het infiltreren en compromitteren van de systemen van JumpCloud vorig jaar en richtte zich vervolgens op een beperkte groep downstream-klanten.
FBI-analyse
Uit de analyse van de FBI van deze specifieke aanval blijkt dat de hackers in maart 2024 contact opnamen met een werknemer bij Ginco, een in Japan gevestigd softwarebedrijf voor cryptocurrency portemonnees. Ze deden zich voor als recruiters en stuurden de werknemer een URL die leidde naar een kwaadaardig Python-script dat werd gehost op GitHub als onderdeel van een vermeende pre-employment test. Het slachtoffer, dat toegang had tot het portemonneebeheersysteem van Ginco, bracht per ongeluk hun beveiliging in gevaar door de Python-code naar hun persoonlijke GitHub-pagina te kopiëren.
Aanvallers misbruiken kwetsbaarheden en stelen geld
Medio mei 2024 maakten de aanvallers gebruik van sessiecookie-informatie om zich voor te doen als de gecompromitteerde medewerker en ongeautoriseerde toegang te krijgen tot het onversleutelde communicatiesysteem van Ginco. Eind mei gebruikten ze deze toegang waarschijnlijk om een legitiem transactieverzoek van een DMM-medewerker te manipuleren, wat resulteerde in het verlies van 4.502,9 BTC, met een waarde van 308 miljoen dollar tijdens de aanval.
Deze onthulling volgt op Chainalysis die de DMM Bitcoin hack toeschrijft aan Noord-Koreaanse hackers. Ze verklaarden dat de aanvallers kwetsbaarheden in de infrastructuur misbruikten om ongeautoriseerde geldopnames te doen. Volgens Chainalysis maakten de aanvallers miljoenen dollars aan cryptocurrency over van DMM Bitcoin naar verschillende tussenliggende adressen voordat ze een Bitcoin CoinJoin Mixing Service bereikten.
Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!