De Japanse en Amerikaanse autoriteiten hebben de diefstal van cryptocurrency ter waarde van $308 miljoen van cryptocurrency-bedrijf DMM Bitcoin in mei 2024 eerder toegeschreven aan Noord-Koreaanse cyberactoren.
“De diefstal houdt verband met de dreigingsactiviteit van TraderTraitor, die ook wordt gevolgd als Jade Sleet, UNC4899 en Slow Pisces”, aldus de agentschappen. “TraderTraitor-activiteit wordt vaak gekenmerkt door gerichte social engineering gericht op meerdere werknemers van hetzelfde bedrijf tegelijkertijd.”
De waarschuwing komt met dank aan het Amerikaanse Federal Bureau of Investigation (FBI), het Cyber Crime Center van het Ministerie van Defensie en de Nationale Politie van Japan. Het is vermeldenswaard dat DMM Bitcoin eerder deze maand zijn activiteiten heeft stopgezet in de nasleep van de hack.
TraderTraitor verwijst naar een aan Noord-Korea gekoppeld cluster van aanhoudende dreigingsactiviteiten dat een geschiedenis heeft van het aanvallen van bedrijven in de Web3-sector, het verleiden van slachtoffers tot het downloaden van met malware geregen cryptocurrency-apps en uiteindelijk het faciliteren van diefstal. Het is bekend dat het in ieder geval sinds 2020 actief is.
De afgelopen jaren heeft de hackploeg een reeks aanvallen georkestreerd die gebruik maken van social engineering-campagnes met een baanthema of die potentiële doelwitten bereiken onder het voorwendsel van samenwerking aan een GitHub-project, wat vervolgens leidt tot de inzet van kwaadaardige npm-pakketten.
De groep is echter misschien het meest bekend vanwege het infiltreren en verkrijgen van ongeautoriseerde toegang tot de systemen van JumpCloud om zich vorig jaar op een kleine groep downstream-klanten te richten.
De door de FBI gedocumenteerde aanvalsketen is niet anders, in die zin dat de bedreigingsactoren in maart 2024 contact opnamen met een medewerker van een in Japan gevestigd softwarebedrijf voor cryptocurrency-portemonnees genaamd Ginco, die zich voordeed als recruiter en hen een URL stuurden naar een kwaadaardig Python-script dat op GitHub werd gehost. als onderdeel van een zogenaamde pre-employment test.
Het slachtoffer, dat toegang had tot het portemonneebeheersysteem van Ginco, werd vervolgens gecompromitteerd nadat ze de Python-code naar hun persoonlijke GitHub-pagina hadden gekopieerd.
De tegenstander ging medio mei 2024 over naar de volgende fase van de aanval, toen hij sessiecookie-informatie misbruikte om zich voor te doen als de gecompromitteerde werknemer en met succes toegang kreeg tot het niet-gecodeerde communicatiesysteem van Ginco.
“Eind mei 2024 gebruikten de actoren deze toegang waarschijnlijk om een legitiem transactieverzoek van een DMM-medewerker te manipuleren, wat resulteerde in het verlies van 4.502,9 BTC, ter waarde van $308 miljoen op het moment van de aanval”, aldus de agentschappen. “Het gestolen geld werd uiteindelijk verplaatst naar door TraderTraitor gecontroleerde portemonnees.”
De onthulling komt kort nadat Chainalysis de hack van DMM Bitcoin heeft toegeschreven aan Noord-Koreaanse bedreigingsactoren, waarbij werd verklaard dat de aanvallers zich richtten op kwetsbaarheden in de infrastructuur om ongeoorloofde opnames te maken.
“De aanvaller heeft voor miljoenen dollars aan cryptovaluta van DMM Bitcoin naar verschillende intermediaire adressen verplaatst voordat hij uiteindelijk een Bitcoin CoinJoin Mixing Service bereikte”, aldus het blockchain-inlichtingenbureau.
“Nadat ze het gestolen geld met succes hadden gemengd met behulp van de Bitcoin CoinJoin Mixing Service, verplaatsten de aanvallers een deel van het geld via een aantal overbruggingsdiensten en uiteindelijk naar HuiOne Guarantee, een online marktplaats die verbonden was met het Cambodjaanse conglomeraat HuiOne Group, dat voorheen ontmaskerd als een belangrijke speler in het faciliteren van cybercriminaliteit.”
De ontwikkeling komt ook op het moment dat het AhnLab Security Intelligence Center (ASEC) onthulde dat de Noord-Koreaanse bedreigingsacteur met de codenaam Andariel, een subcluster binnen de Lazarus Group, de SmallTiger-achterdeur inzet als onderdeel van aanvallen gericht op Zuid-Koreaanse oplossingen voor vermogensbeheer en documentcentralisatie. .