Разработчики Bitmex выявляют подробности о хакерках Lazarus Group после доступа к своей базе данных

Bitmex выпустила подробную статью в своем блоге с изложением многих эксплойтов группы Lazarus в Северной Кореи, связанных с недавними атаками против его крипто -биржи. Lazarus Group была печально известна тем, что нацеливалась на крипто -сектор, используя всевозможные уловки и тактики для кражи средств у ничего не подозревающих крипто -держателей.

Хакеры нацелены на различные обмены, включая Phemex и Bybit. Они даже обратились к сотруднику Bitmex, предлагая фальшивый проект, чтобы замаскировать фишинговую попытку установить вредоносное программное обеспечение на устройстве сотрудника. Но теперь Битмкс отбивается, глубоко погрузившись в злой код, используемый хакерской группой. Bitmex обнаружил серьезные уязвимости, которые обмены могут использовать для защиты своих активов, включая экспозицию баз данных отслеживания группы и IP -адреса происхождения. Bitmex может отслеживать свои рабочие часы и изолировать актеров с ключом к операциям хакерской группы. Bitmex определил разные уровни для хакеров, когда хакеры-любители, назначенные фишинговым задачам, и высококвалифицированных хакеров, назначенных на процедуры после эксплуатации.

В блоге Bitmex в сообщении описано различные меры, которые должны быть реализованы для обнаружения нарушений безопасности в режиме реального времени, включая систему внутреннего мониторинга для обнаружения инфекций. Bitmex внезапно интересовался кибербезопасностью, потому что член Lazarus Group связался с сотрудником Bitmex в LinkedIn, предлагая предложение присоединиться к фальшивому проекту NFT. Битмкс не был впечатлен наглой попыткой фишинга и решил расследовать этот вопрос. Теперь у Bitmex была возможность проанализировать код Live Lazarus, потому что хакер дал им ссылку на проект Next.js / React на GitHub. Команда быстро обнаружила, что код был разработан, чтобы побудить сотрудников запустить вредоносный код в своих системах. 

Supabase Lazarus была обнаружена исследователями Bitmex, обнаружив данные, относящиеся к вредоносному ПО, включая имя пользователя, имя хоста, операционную систему, геолокацию, метку времени и IP -адрес. Bitmex смог классифицировать различные устройства как разработчик или тестовый компьютер из -за частоты работы. Многие из разработчиков использовали VPN для запугивания своего местоположения. Тем не менее, один разработчик скользил на одном этапе, раскрывая фактический IP -адрес машины, который находится в Jiaxing, China, и использует мобильный IP -адрес China.

Bitmex считает, что это был серьезный операционный сбой и может раскрыть личность хакера. Supabase также выявила, какие услуги VPN использовали хакеры. Затем Bitmex разработал сценарий для автоматического анализа супабазы ​​и поиска эксплуатационных ошибок. В конце концов, даже хакеры делают ошибки, которые могут быть для них очень дорого. BitMex обнаружил, что активность Lazarus упала с 8:00 до 13:00 UTC, что эквивалентно 5 вечера и 10 вечера в Пхеньян. Такое структурированное расписание предполагает, что злоумышленники следуют организованному графику работы.

По словам разработчиков Bitmex, хакеры обладают различными техническими способностями и находятся в иерархии операций. Разработчики Bitmex могут использовать такую ​​деталь, искав ошибки, сделанные начинающими хакерами. Разработчики Bitmex заметили, что один хакер попытался повторно использовать программу под названием «Beavertail», но неправильно реализовал ее, почти разоблачая личный IP -адрес. Таким образом, Bitmex смог повысить свою безопасность за счет первого категоризации жертв атаки, чтобы он мог обнаружить операционные ошибки, сделанные начинающими хакерами. 

JavaScript Deobfuscation значительно повлиял на разработчиков Bitmex, потому что группа Lazarus в значительной степени полагалась на запутанный код. Блог Bitmex отметил, что разработчикам было очень весело, раскрывая запутанный код, потому что они могут использовать различные творческие методы для поиска вредоносных программ. Они использовали инструмент Webcrack, чтобы переименовать переменные JavaScript с читаемым человеком текстом. Webcrack имеет функцию переименования символа, которая помогает процессу деобфускации. Команда Bitmex была Deobfusceed предыдущей вредоносной программы и была подготовлена ​​для предстоящей задачи. Они могли хранить различные процедуры, чтобы процесс мог быть выполнен быстро. Тем не менее, разработчики заметили, что у кода новая функция, подключенная к базе данных Supabase, и добавили подробную информацию о машине жертвы. Supabase позволила злоумышленникам создать базу данных на лету, не нуждаясь в слое API. Разработчики Bitmex знали, что программисты часто не защищают такую ​​базу данных с аутентификацией. Они могли бы получить доступ к супабазе и провести больше анализа о злоумышленниках.