Safe {Wallet} heeft onthuld dat het cybersecurity-incident dat leidde tot de Bybit $ 1,5 miljard crypto-overval een “zeer geavanceerde, door de staat gesponsorde aanval” is, waarin staat dat de Noord-Koreaanse dreigingsactoren achter de hack stappen ondernomen om sporen van de kwaadaardige activiteit te wissen in een poging om de inspanningen van het onderzoek te verbazen.
Het multi-signature (Multisig) -platform, dat in Google Cloud Mandiant is geroteerd om een forensisch onderzoek uit te voeren, zei dat de aanval het werk is van een hackgroep genaamd TrainerTraitor, die ook bekend staat als Jade Sleet, Pukchong en UNC4899.
“De aanval omvatte het compromis van een veilige {Wallet} ontwikkelaar’s laptop (‘ontwikkelaar1’) en de kaping van AWS-sessie-tokens om multi-factor authenticatie (‘MFA’) controles te omzeilen,” zei het. “Deze ontwikkelaar was een van de weinige personeelsleden die hogere toegang hadden om hun taken uit te voeren.”
Verdere analyse heeft vastgesteld dat de dreigingsacteurs op 4 februari 2025 in de Apple MacOS-machine van de ontwikkelaar zijn ingebroken, toen de persoon een Docker-project met de naam “MC-gebaseerde-stock-invest-simulator-main” downloadde “waarschijnlijk via een sociale engineeringaanval. Het project communiceerde met een domein “GetStockPrice (.) Com” dat twee dagen eerder op Namecheap werd geregistreerd.
Dit is eerder bewijs dat aangeeft dat de handelaars -acteurs de ontwikkelaars van cryptocurrency -uitwisseling hebben misleid om een dokproject op te lossen nadat ze via telegram zijn benaderd. Het Docker-project is geconfigureerd om een payload van de volgende fase met de naam PlottWist te laten vallen die aanhoudende externe toegang mogelijk maakt.
Het is niet duidelijk of dezelfde modus operandi werd gebruikt bij de laatste aanvallen, zoals Safe {Wallet} zei: “De aanvaller verwijderde hun malware en wist de geschiedenis van Bash in een poging om onderzoeksinspanningen te dwarsbomen.”
Uiteindelijk wordt gezegd dat de malware die op het werkstation is geïmplementeerd, is gebruikt om verkenning van de Amazon Web Services (AWS) -omgeving (AWS) van het bedrijf uit te voeren en actieve AWS -gebruikerssessies te kapen om hun eigen acties uit te voeren die in overeenstemming zijn met het schema van de ontwikkelaar in een poging om onder de radar te vliegen.
“Het aanvallergebruik van het AWS-account van Developer1 is afkomstig van ExpressVPN IP-adressen met gebruikersagentreeksen met distribie#kali.2024,” zei het. “Deze gebruikersagentstring duidt op het gebruik van Kali Linux dat is ontworpen voor offensieve beveiligingsbeoefenaars.”
De aanvallers zijn ook geobserveerd die het open-source mythische framework implementeren, evenals het injecteren van kwaadaardige JavaScript-code in de SAFE {Wallet} -website voor een tweedaagse periode tussen 19 en 21 februari 2025.
Bybit CEO Ben Zhou, in een update die eerder deze week werd gedeeld, zei dat meer dan 77% van de gestolen fondsen traceerbaar blijft en dat 20% donker is geworden en 3% bevroren is. Het heeft 11 partijen gecrediteerd, waaronder Mantle, Paraswap en Zachxbt, voor het helpen bevriezen van de activa. Ongeveer 83% (417.348 ETH) is omgezet in Bitcoin en verspreidt het over 6.954 portefeuilles.
In de nasleep van de hack is 2025 op schema voor een recordjaar voor cryptocurrency -overvallen, waarbij Web3 -projecten al in de eerste twee maanden alleen maar een verbluffende $ 1,6 miljard verliezen, volgens gegevens van Blockchain -beveiligingsplatform Immunefi.
“De recente aanval onderstreept de evoluerende verfijning van dreigingsactoren en benadrukt kritieke kwetsbaarheden in Web3 Security,” zei het bedrijf. “
“Het verifiëren van de transactie die u ondertekent, zal resulteren in de beoogde uitkomst blijft een van de grootste beveiligingsuitdagingen in Web3, en dit is niet alleen een probleem met de gebruiker en het onderwijsmateriaal-het is een industriebrede kwestie die collectieve actie vereist.”
