Sofistikovaný kybernetický útok zorganizovaný nechvalně známou skupinou Lazarus Group, široce spojovanou s jednotkami kybernetické války Severní Koreje, byl nedávno detekován a neutralizován společností BitMEX. Tato úspěšná obrana odhalila značné provozní bezpečnostní přehmaty útočníků, poskytující cenné poznatky o jejich metodách a potenciálních slabinách. Incident vznikl z cíleného pokusu o sociální inženýrství proti zaměstnanci BitMEXu, který byl rychle nahlášen, což odstartovalo komplexní bezpečnostní vyšetřování.
Počáteční angažmá a analýza malwaru
Útok začal, když zaměstnanec BitMEXu obdržel na LinkedInu návrh na fiktivní projekt NFT tržiště. Zaměstnanec, který to rozpoznal jako známou phishingovou taktiku skupiny Lazarus, okamžitě nabídku označil. Tato bdělost přiměla bezpečnostní tým BitMEXu k prozkoumání GitHub repozitáře sdíleného útočníkem. Tento repozitář obsahoval projekt Next.js/React, který nenápadně vkládal škodlivý kód určený k provedení payloadu na systému zaměstnance bez jeho vědomí. Zásadní je, že bezpečnostní tým se zdržel spuštění kódu a místo toho zvolil přímou analýzu.
Během hloubkové analýzy repozitáře hledali inženýři BitMEXu běžné indikátory malwaru. Objevili zakomentovaný řádek kódu, který byl navržen k načtení a spuštění cookie z „hxxp://regioncheck[.]net/api/user/thirdcookie/v3/726“. Tato doména byla dříve spojována s aktivitami skupiny Lazarus Group společností Palo Alto Networks‘ Unit 42, prominentní kyberbezpečnostní firmou, která po léta sledovala kybernetické operace KLDR. Aktivní komponenta v kódu posílala požadavky na „hxxp://fashdefi[.]store:6168/defy/v5“, přičemž vykonávala přijatou odpověď. Ruční extrakce a deobfuskace tohoto JavaScriptu odhalila složitý skript, naznačující schopnosti krádeže přihlašovacích údajů a vykazující podobnosti se starším malwarem Lazarus, konkrétně s prvky z jejich kampaně BeaverTail.
Provozní chyby a odhalení útočníka
Klíčovým objevem během analýzy bylo připojení malwaru k nezabezpečené instanci Supabase. Na rozdíl od typických chráněných backendových platforem byla tato databáze přístupná bez ověření. Bezpečnostní tým BitMEXu úspěšně získal přímý přístup, čímž odhalil protokoly z 37 infikovaných strojů. Každý záznam podrobně popisoval uživatelské jméno, název hostitele, operační systém, IP adresu, geolokaci a časovou značku kompromitovaných zařízení.
Analytici BitMEXu identifikovali opakující se vzorce, kdy se určitá zařízení často objevovala v protokolech, což naznačuje jejich použití útočníky jako vývojová nebo testovací prostředí. Zatímco mnoho pozorovaných IP adres bylo spojeno s poskytovateli VPN, kritická chyba jednoho operátora, identifikovaného jako „Victor“, odhalila rezidenční IP adresu (223.104.144.97) nacházející se v čínském Jiaxingu pod China Mobile. Tato ne-VPN IP adresa byla označena jako významné selhání provozní bezpečnosti ze strany Lazarus Group.
Aby tento přístup dále využil, BitMEX vyvinul nástroj pro nepřetržité monitorování databáze Supabase. Od 14. května toto monitorování shromáždilo 856 záznamů datujících se do 31. března, odhalujících 174 unikátních kombinací uživatelských jmen a názvů hostitelů. Toto probíhající sledování si klade za cíl odhalit nové infekce nebo další chyby útočníků. Analýza časových značek také odhalila konzistentní pokles aktivity skupiny Lazarus mezi 8. a 13. hodinou UTC, což odpovídá 17. až 22. hodině v Pchjongjangu. Tento strukturovaný rozvrh poskytuje další důkazy, že skupina Lazarus Group funguje jako organizovaný tým, nikoli jako skupina nezávislých hackerů.
Rozdělené operace Lazarus Group a extrakce IoC
Incident je v souladu s etablovanou historií útoků sociálního inženýrství skupiny Lazarus Group a jejich podezřelým vnitřním dělením práce. Minulé incidenty, jako například prolomení související se zaměstnancem Safe Wallet, ukázaly vzorec, kdy počáteční phishingový tým získá přístup, následovaný technicky zdatnějším týmem, který se zabývá post-exploitačními aktivitami, jako je manipulace s cloudovými prostředími za účelem krádeže kryptoměn.
BitMEX poznamenal, že tato kampaň kopírovala zmíněný vzor: počáteční zpráva na LinkedInu se jevila jako základní a GitHub repozitář byl poněkud amatérský. Nicméně následný post-exploitační skript vykazoval mnohem vyšší úroveň dovedností, což naznačuje zkušenějšího operátora. To naznačuje, že se skupina Lazarus Group pravděpodobně rozdělila na podskupiny s různou úrovní technické sofistikovanosti.
Po deobfuskaci malwaru BitMEX úspěšně extrahoval klíčové Indikátory kompromitace (IoCs). Tyto byly vloženy do jejich interních bezpečnostních systémů pro zlepšenou detekci hrozeb. Počáteční fáze škodlivého kódu byly nové a zdálo se, že přímo přenášely systémová data, včetně uživatelských jmen a IP adres, do otevřené databáze Supabase, čímž neúmyslně zjednodušily sledování pro každého, kdo objevil nezabezpečený backend. Protokoly také poskytly náhled na pravděpodobná testovací prostředí útočníků, odhalující uživatelské účty a názvy strojů jako Admin@3-HIJ, Lenovo@3-RKS, GoldRock@DESKTOP-N4VEL23 a Muddy@DESKTOP-MK87CBC.