Post #4490

На автомате Северокорейская группировка Lazarus выкачала $11,5 миллионов с тайваньской биржи BitoPro в мае, используя проверенную схему с фишингом сотрудников. Хакеры поймали работника, ответственного за облачную инфраструктуру, и установили на его машину вредонос. Малварь обошла антивирус, endpoint protection и облачную защиту биржи. После этого злоумышленники терпеливо наблюдали за действиями жертвы, изучая рабочие процессы и ожидая подходящего случая. Выбрав идеальный момент во время обновления кошельков, Lazarus перехватила AWS session tokens и обошла многофакторную аутентификацию. Подключив собственные C2-серверы к инфраструктуре AWS биржи, они доставили зловредные скрипты прямо в систему горячих кошельков. 9 мая в час ночи началась откачка средств через поддельные транзакции на Ethereum, Tron, Solana и Polygon. Биржа быстро заметила аномалию и остановила атаку, но $11,5 млн уже утекли. BitoPro поглотила убытки сама — пользователи не пострадали. Товарищи из КНДР продолжают оттачивать мастерство по старинке 🤖 НеКасперский