Zaawansowany cyberatak, zorganizowany przez osławioną Grupę Lazarus, kolektyw szeroko powiązany z północnokoreańskimi jednostkami cyberwojennymi, został niedawno wykryty i zneutralizowany przez BitMEX. Ta udana obrona ujawniła znaczące niedopatrzenia w bezpieczeństwie operacyjnym po stronie atakujących, dostarczając cennych informacji na temat ich metod i potencjalnych słabości. Incydent rozpoczął się od ukierunkowanej próby inżynierii społecznej skierowanej przeciwko pracownikowi BitMEX, która została szybko zgłoszona, rozpoczynając kompleksowe dochodzenie bezpieczeństwa.
Wstępne zaangażowanie i analiza złośliwego oprogramowania
Atak rozpoczął się, gdy pracownik BitMEX otrzymał na LinkedInie propozycję dotyczącą fałszywego projektu rynku NFT. Rozpoznając w tym znaną taktykę phishingu Grupy Lazarus, pracownik natychmiast zgłosił ofertę. Ta czujność skłoniła zespół bezpieczeństwa BitMEX do zbadania repozytorium GitHub udostępnionego przez atakującego. Repozytorium to zawierało projekt Next.js/React, który w sposób subtelny osadzał złośliwy kod, mający na celu wykonanie ładunku na systemie pracownika bez jego wiedzy. Co kluczowe, zespół bezpieczeństwa powstrzymał się od uruchomienia kodu, decydując się zamiast tego na bezpośrednią analizę.
Podczas szczegółowej analizy repozytorium inżynierowie BitMEX szukali typowych wskaźników złośliwego oprogramowania. Odkryli zakomentowaną linię kodu, która miała pobierać i wykonywać plik cookie z „hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726”. Domena ta była wcześniej powiązana z działalnością Grupy Lazarus przez Unit 42 z Palo Alto Networks, czołową firmę cybersecurity, która od lat śledzi operacje cybernetyczne KRLD. Aktywny komponent w kodzie wysyłał zapytania do „hxxp://fashdefi[.]store:6168/defy/v5”, wykonując otrzymaną odpowiedź. Ręczne wydobycie i deobfuskacja tego kodu JavaScript ujawniły złożony skrypt, wskazujący na możliwości kradzieży poświadczeń i wykazujący podobieństwa do starszego złośliwego oprogramowania Lazarus, w szczególności do elementów z ich kampanii BeaverTail.
Błędy operacyjne i demaskacja atakującego
Kluczowym odkryciem podczas analizy było połączenie złośliwego oprogramowania z niezabezpieczoną instancją Supabase. W przeciwieństwie do typowych chronionych platform zaplecza, ta baza danych była dostępna bez uwierzytelniania. Zespół bezpieczeństwa BitMEX z powodzeniem uzyskał bezpośredni dostęp, ujawniając logi z 37 zainfekowanych maszyn. Każdy wpis szczegółowo opisywał nazwę użytkownika, nazwę hosta, system operacyjny, adres IP, geolokalizację i znacznik czasu skompromitowanych urządzeń.
Analitycy BitMEX zidentyfikowali powtarzające się wzorce, z niektórymi urządzeniami często pojawiającymi się w logach, co sugerowało ich wykorzystanie przez atakujących jako środowiska deweloperskie lub testowe. Chociaż wiele obserwowanych adresów IP było powiązanych z dostawcami VPN, krytyczny błąd jednego operatora, zidentyfikowanego jako „Victor”, ujawnił rezydencyjny adres IP (223.104.144.97) zlokalizowany w Jiaxing w Chinach, należący do China Mobile. Ten adres IP, niepochodzący z VPN, został uznany za poważną porażkę w bezpieczeństwie operacyjnym Grupy Lazarus.
Aby dalej wykorzystać ten dostęp, BitMEX opracował narzędzie do ciągłego monitorowania bazy danych Supabase. Od 14 maja to monitorowanie zebrało 856 wpisów, sięgających 31 marca, ujawniając 174 unikalne kombinacje nazw użytkowników i nazw hostów. Ta ciągła obserwacja ma na celu wykrywanie nowych infekcji lub dalszych błędów atakujących. Analiza znaczników czasu ujawniła również stały spadek aktywności Grupy Lazarus między godziną 8:00 a 13:00 UTC, co odpowiada godzinom od 17:00 do 22:00 w Pjongjangu. Ten ustrukturyzowany harmonogram dostarcza dodatkowych dowodów na to, że Grupa Lazarus działa jako zorganizowany zespół, a nie zbiór niezależnych hakerów.
Podział operacji Grupy Lazarus i ekstrakcja IoC
Incydent ten jest zgodny z ugruntowaną historią ataków inżynierii społecznej Grupy Lazarus i ich podejrzanym wewnętrznym podziałem pracy. Poprzednie incydenty, takie jak włamanie z udziałem pracownika Safe Wallet, wykazały wzorzec, w którym początkowy zespół phishingowy uzyskuje dostęp, a następnie bardziej zaawansowany technicznie zespół zajmuje się post-eksploatacją, taką jak manipulowanie środowiskami chmurowymi w celu kradzieży kryptowalut.
BitMEX zauważył, że ta kampania odzwierciedlała ten schemat: początkowa wiadomość na LinkedIn wydawała się podstawowa, a repozytorium GitHub było nieco amatorskie. Jednak późniejszy skrypt poeksploatacyjny wykazywał znacznie wyższy poziom umiejętności, co wskazuje na bardziej doświadczonego operatora. Sugeruje to, że Grupa Lazarus prawdopodobnie podzieliła się na podgrupy o różnym poziomie zaawansowania technicznego.
Po deobfuskacji złośliwego oprogramowania BitMEX pomyślnie wyodrębnił kluczowe Wskaźniki Kompromitacji (IoC). Zostały one wprowadzone do wewnętrznych systemów bezpieczeństwa BitMEX w celu zwiększenia wykrywalności zagrożeń. Wczesne etapy złośliwego kodu były nowe i wydawały się bezpośrednio przesyłać dane systemowe, w tym nazwy użytkowników i adresy IP, do otwartej bazy danych Supabase, mimowolnie upraszczając śledzenie dla każdego, kto odkrył niezabezpieczony backend. Logi dostarczyły również informacji na temat prawdopodobnych środowisk testowych atakujących, ujawniając konta użytkowników i nazwy maszyn, takie jak Admin@3-HIJ, Lenovo@3-RKS, GoldRock@DESKTOP-N4VEL23 i Muddy@DESKTOP-MK87CBC.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.