Северокорейская кибератака: кража 400 000 ETH и уязвимости AWS

21 февраля 2025 года в результате продвинутой кибероперации, приписываемой северокорейскому подразделению TraderTraitor, происходила крупная кража криптовалюты. Сообщается, что с криптовалютной биржи ByBit было украдено около 400 000 ETH, что подчеркивает эволюционирующие методы воздействия КНДР на цепочки поставок программного обеспечения.

Методы кибератак

Атака продемонстрировала стратегию злоумышленников, заключающуюся в использовании доверенных отношений с поставщиками для облегчения взломов систем безопасности. Инцидент был связан с компрометацией рабочей станции разработчика macOS, использованной Safe{Wallet}, поставщиком кошельков с несколькими подписями для ByBit.

Ход атаки

Вторжение началось с социальной инженерии, в ходе которой разработчик невольно запустил вредоносное приложение на Python, использующее уязвимость удаленного выполнения кода в библиотеке PyYAML. Злоумышленники использовали следующий подход:

• Создание тщательно разработанного домена для передачи вредоносной полезной нагрузки;
• Получение контроля над компьютером разработчика с помощью загрузчика на Python, идентифицированного как агент Poseidon из MythicC2;
• Компрометация конфигураций AWS с использованием скомпрометированных токенов сеанса.

Технические детали

Ключевые технические действия включали:

• Развертывание полезной нагрузки на JavaScript, встроенной в приложение Safe{Wallet};
• Манипулирование кодом на AWS S3 для изменения логики транзакций;
• Перенаправление средств с адресов холодного кошелька ByBit на адреса, контролируемые злоумышленниками.

Атака также продемонстрировала стратегическое использование логики контейнеризованного приложения, обеспечивающей скрытность, что не было обнаружено платформой Apple Endpoint Security Framework.

Выявленные уязвимости

Важно отметить, что атака выявила уязвимости в конфигурациях AWS, такие как:

• Отсутствие блокировки объектов S3, что могло бы предотвратить несанкционированные модификации;
• Отсутствие защиты целостности вложенных ресурсов (SRI), что обеспечило бы целостность файлов JavaScript, предоставляемых конечным пользователям.

Рекомендации по безопасности

Методология злоумышленников подчеркивает необходимость улучшения контроля и мер безопасности в рабочих процессах разработки и развертывания облачных приложений. Рекомендуется:

• Обеспечить неизменяемость хранилища для критически важных ресурсов;
• Внедрить надежные политики IAM с принципами минимизации привилегий;
• Повысить прозрачность за счет всестороннего ведения журнала и мониторинга облачных операций.

Эта кибератака представляет собой изощренное использование атак по цепочке поставок, демонстрируя, как хакеры могут использовать среду разработки и облачную инфраструктуру для получения прибыли. Последствия для организаций в секторе криптовалют подчеркивают критическую важность бдительности в отношении социальной инженерии, соблюдения передовых методов обеспечения безопасности и строжайших стратегий защиты от APT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.