TraderTraitor: анализ северокорейских кибератак на крипторынок

TraderTraitor: анализ северокорейских кибератак на крипторынок

Группа TraderTraitor представляет собой одну из самых опасных кибератак, спонсируемых государством Северной Кореи, и направленных в первую очередь на финансовые объекты криптовалютного и блокчейн-сектора. В условиях жестких международных санкций эта операция существенно помогает финансированию государственных программ КНДР. Вследствие деятельности TraderTraitor страдают как крупные криптобиржи, так и экосистемы, связанные с хранением и управлением цифровыми активами.

Ключевые факты и направления атак

  • Активность TraderTraitor связана с такими группами APT, как Lazarus Group и APT38.
  • Известные крупные кибератаки включают взлом биржи DMM на сумму $308 млн и хищение криптовалюты на $1,5 млрд с биржи Bybit.
  • Основная цель — криптовалютная и блокчейн-экосистема, что позволяет обходить экономические санкции.
  • Методы варьируются от сложной социальной инженерии до взлома цепочки поставок и облачных сервисов.

Используемые тактики и вредоносное ПО

TraderTraitor демонстрирует высокий уровень технической продвинутости, используя многокомпонентный арсенал атак:

  • Социальная инженерия: фишинговые кампании с предложениями о работе, адресованные сотрудникам, связанным с криптографией, для внедрения троянских приложений.
  • Троянские приложения, маскирующиеся под легитимные криптографические инструменты, с полезной нагрузкой, включая MANUSCRYPT — троян удалённого доступа для кражи конфиденциальных данных и учетных записей криптовалюты.
  • Атаки на облачные сервисы через компрометацию клиентов, а не самих провайдеров. Пример — взлом платформы JumpCloud в июле 2023 года, когда через поставщика распространялись вредоносные обновления, затронувшие криптокомпании.
  • Использование общедоступных репозиториев, таких как GitHub, для внедрения скомпрометированных пакетов, влияющих на финансовые технологии.

Особенности и эволюция атак TraderTraitor

Злоумышленники постоянно совершенствуют свои методы:

  • Быстрое хищение и манипулирование легитимными транзакциями — некоторые атаки доводятся до реализации всего за несколько дней после взлома.
  • Взлом среды Safe{Wallet}, приведший к атакам на биржу Bybit, где злоумышленники использовали украденные учетные данные для изменения работы веб-приложений и перехвата транзакций в реальном времени.
  • Эксплуатация проблем с неправильным кодированием для вынуждения разработчиков запускать вредоносные скрипты, открывающие дополнительные пути для проникновения.
  • Применение вредоносного ПО, такого как RN Stealer, для сбора конфиденциальных данных, включая облачные конфигурации и учетные данные пользователей, способствующее широкому перемещению внутри сетей.

Опасность и рекомендации

Деятельность TraderTraitor — это сочетание тактик, характерных для государственно-спонсируемых групп и киберпреступников, что делает их угрозу уникально высокой для сектора криптовалют и финансовых технологий.

Эксперты подчёркивают, что

«сочетание социальной инженерии, атак на цепочки поставок и использование облачных сервисов в качестве точек входа требует комплексного подхода к безопасности». Защита критических инфраструктур и пользовательских активов должна основываться на строгом контроле доступа, регулярном мониторинге активности и немедленном реагировании на инциденты.

Без должной подготовки и модернизации систем безопасности организации остаются уязвимыми перед таким изощрённым противником, как TraderTraitor.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: