Эстонская компания по обработке криптовалютных платежей, CoinsPaid, выяснила , как именно хакеры группы Lazarus из Северной Кореи, получили доступ к ее системам 23 июля. Тогда было украдено более $37 млн.
Используя подставных рекрутеров, якобы от других организаций, злоумышленники предлагали сотрудникам CoinsPaid работу. Самым привлекательным условием вакансии была заработная плата — от $16 000 до $24 000 в месяц.
Один из сотрудников согласился на онлайн-собеседование с «работодателем». В ходе интервью его попросили скачать специальное ПО и выполнить тестовое задание. Мужчина, по данным расследования, установил на своем ПК JumpCloud Agent или другую программу, содержащую вредоносные файлы. Сама платформа JumpCloud, вероятно, была также взломана хакерами в июле для целенаправленных атак на криптовалютные биржи.
Специалисты отмечают, что все действия Lazarus были тщательно спланированы. Они в течение полугода изучали CoinsPaid, собирая информацию о структуре и технических особенностях сервиса. Это объясняет, почему манипуляции выглядели крайне правдоподобно и не вызвали у жертвы никаких подозрений.
«Получив доступ к инфраструктуре CoinsPaid, злоумышленники использовали уязвимость системы в качестве бэкдора, — заявила CoinsPaid. «Знания, полученные на этапе исследования, позволили им отправлять запросы на взаимодействие с блокчейном и выводить средства из нашего операционного хранилища».
До атаки 23 июля хакеры неоднократно пытались проникнуть на платформу, начиная с марта 2023 года, но после нескольких неудачных попыток изменили свой подход. Основным методом выбрали социальную инженерию, сосредоточившись на отдельных работниках, а не на компании в целом.
CoinsPaid также сообщила, что сотрудничает с организацией по безопасности блокчейна Match Systems для отслеживания украденных средств. Уже известно, что большая часть криптовалюты была переведена на SwftSwap. По мнению экспертов, схема транзакций, которую используют преступники, аналогична действиям Lazarus в ходе взлома Atomic Wallet на сумму $35 млн в июне.
Используя подставных рекрутеров, якобы от других организаций, злоумышленники предлагали сотрудникам CoinsPaid работу. Самым привлекательным условием вакансии была заработная плата — от $16 000 до $24 000 в месяц.
Один из сотрудников согласился на онлайн-собеседование с «работодателем». В ходе интервью его попросили скачать специальное ПО и выполнить тестовое задание. Мужчина, по данным расследования, установил на своем ПК JumpCloud Agent или другую программу, содержащую вредоносные файлы. Сама платформа JumpCloud, вероятно, была также взломана хакерами в июле для целенаправленных атак на криптовалютные биржи.
Специалисты отмечают, что все действия Lazarus были тщательно спланированы. Они в течение полугода изучали CoinsPaid, собирая информацию о структуре и технических особенностях сервиса. Это объясняет, почему манипуляции выглядели крайне правдоподобно и не вызвали у жертвы никаких подозрений.
«Получив доступ к инфраструктуре CoinsPaid, злоумышленники использовали уязвимость системы в качестве бэкдора, — заявила CoinsPaid. «Знания, полученные на этапе исследования, позволили им отправлять запросы на взаимодействие с блокчейном и выводить средства из нашего операционного хранилища».
До атаки 23 июля хакеры неоднократно пытались проникнуть на платформу, начиная с марта 2023 года, но после нескольких неудачных попыток изменили свой подход. Основным методом выбрали социальную инженерию, сосредоточившись на отдельных работниках, а не на компании в целом.
CoinsPaid также сообщила, что сотрудничает с организацией по безопасности блокчейна Match Systems для отслеживания украденных средств. Уже известно, что большая часть криптовалюты была переведена на SwftSwap. По мнению экспертов, схема транзакций, которую используют преступники, аналогична действиям Lazarus в ходе взлома Atomic Wallet на сумму $35 млн в июне.