ปลอดภัย เผยแพร่ รายงานเบื้องต้น เมื่อวันที่ 6 มีนาคมเป็นสาเหตุของการละเมิดที่นำไปสู่ ก่อนบิต แฮ็คไปยังแล็ปท็อปนักพัฒนาที่ถูกบุกรุก ช่องโหว่ส่งผลให้เกิดการฉีดมัลแวร์ซึ่งอนุญาตให้แฮ็ค
ผู้กระทำผิดหลีกเลี่ยงการตรวจสอบความถูกต้องแบบหลายปัจจัย (MFA) โดยใช้ประโยชน์จากการใช้งาน อเมซอน บริการเว็บ (AWS) โทเค็นทำให้สามารถเข้าถึงได้โดยไม่ได้รับอนุญาต
สิ่งนี้อนุญาตให้แฮ็กเกอร์สามารถปรับเปลี่ยนอินเทอร์เฟซกระเป๋าเงินหลายลายเซ็นที่ปลอดภัยของ Bybit ได้เปลี่ยนที่อยู่ซึ่งการแลกเปลี่ยนนั้นควรจะส่ง Ethereum มูลค่าประมาณ 1.5 พันล้านเหรียญสหรัฐ (ETH) ส่งผลให้มีการแฮ็คที่ใหญ่ที่สุดในประวัติศาสตร์
การประนีประนอมของเวิร์กสเตชันนักพัฒนา
การละเมิดเกิดจากเวิร์กสเตชัน MacOS ที่ถูกบุกรุกซึ่งเป็นของนักพัฒนาที่ปลอดภัยซึ่งอ้างถึงในรายงานว่า“ นักพัฒนา 1”
เมื่อวันที่ 4 กุมภาพันธ์โครงการ Docker ที่ปนเปื้อนสื่อสารกับโดเมนที่เป็นอันตรายชื่อ“ GetStockPrice (.) com” แนะนำกลยุทธ์ทางวิศวกรรมสังคม ผู้พัฒนา 1 เพิ่มไฟล์จากโครงการ Docker ที่ถูกบุกรุกโดยประนีประนอมแล็ปท็อป
โดเมนได้รับการลงทะเบียนผ่าน NAMECHEAP เมื่อวันที่ 2 กุมภาพันธ์ SlowMist ระบุในภายหลังว่า GetStockPrice (.) ข้อมูลโดเมนที่จดทะเบียนเมื่อวันที่ 7 มกราคมเป็นตัวบ่งชี้ที่รู้จักกันดีของการประนีประนอม (IOC) ประกอบกับสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK)
ผู้โจมตีเข้าถึงบัญชี AWS ของ Developer 1 โดยใช้สตริงผู้ใช้กับผู้ใช้ชื่อ“ Distrib#Kali.2024” Mandiant บริษัท ด้านความปลอดภัยทางไซเบอร์ติดตาม UNC4899 ตั้งข้อสังเกตว่าตัวระบุนี้สอดคล้องกับการใช้ Kali Linux ซึ่งเป็นชุดเครื่องมือที่ใช้กันทั่วไปโดยผู้ปฏิบัติงานด้านความปลอดภัยที่ไม่เหมาะสม
นอกจากนี้รายงานพบว่าผู้โจมตีใช้ ExpressVPN เพื่อปกปิดต้นกำเนิดของพวกเขาในขณะที่ดำเนินการ มันยัง เน้นว่าการโจมตีคล้ายกับเหตุการณ์ก่อนหน้านี้ที่เกี่ยวข้องกับ UNC4899 ซึ่งเป็นนักแสดงภัยคุกคามที่เกี่ยวข้องกับ TraderTraitor ซึ่งเป็นกลุ่มอาชญากรที่ถูกกล่าวหาว่าเชื่อมโยงกับ DPRK
ในกรณีก่อนหน้านี้ตั้งแต่เดือนกันยายน 2567 UNC4899 ใช้เลเวอเรมโทรเลขเพื่อจัดการกับนักพัฒนาแลกเปลี่ยน crypto ในการแก้ไขปัญหาโครงการ Docker โดยใช้ Plottwist ซึ่งเป็นมัลแวร์ MacOS ระยะที่สองที่เปิดใช้งานการเข้าถึงถาวร
การใช้ประโยชน์จากการควบคุมความปลอดภัยของ AWS
การกำหนดค่า AWS ของ SAFE ต้องใช้ MFA อีกครั้งเพื่อรับบริการเพื่อความปลอดภัยบริการโทเค็น (STS) ทุก 12 ชั่วโมง ผู้โจมตีพยายาม แต่ล้มเหลวในการลงทะเบียนอุปกรณ์ MFA ของตนเอง
เพื่อหลีกเลี่ยงข้อ จำกัด นี้พวกเขาได้จี้โทเค็นผู้ใช้ AWS ที่ใช้งานผ่านมัลแวร์ที่ปลูกบนเวิร์กสเตชันของ Developer1 สิ่งนี้อนุญาตให้เข้าถึงโดยไม่ได้รับอนุญาตในขณะที่การประชุม AWS ยังคงใช้งานอยู่
Mandiant ระบุโดเมนที่เชื่อมโยงกับ UNC4899 เพิ่มเติมอีกสามรายการที่ใช้ในการโจมตีอย่างปลอดภัย โดเมนเหล่านี้ลงทะเบียนผ่าน NAMECHEAP ปรากฏในบันทึกเครือข่าย AWS และบันทึกเวิร์กสเตชันของ Developer1 ซึ่งแสดงถึงการแสวงหาผลประโยชน์โครงสร้างพื้นฐานที่กว้างขึ้น
Protected กล่าวว่า บริษัท ได้ดำเนินการเสริมกำลังความปลอดภัยที่สำคัญหลังจากการละเมิด ทีมได้ปรับโครงสร้างพื้นฐานและเสริมสร้างความปลอดภัยไกลเกินกว่าระดับเหตุการณ์ก่อน แม้จะมีการโจมตีสัญญาอัจฉริยะของ Protected ยังคงไม่ได้รับผลกระทบ
โปรแกรมความปลอดภัยของ Protected รวมถึงมาตรการเช่นการ จำกัด การเข้าถึงโครงสร้างพื้นฐานที่ได้รับสิทธิพิเศษให้กับนักพัฒนาไม่กี่คนบังคับใช้การแยกระหว่างซอร์สโค้ดการพัฒนาและการจัดการโครงสร้างพื้นฐานและต้องมีการตรวจสอบเพียร์หลายครั้งก่อนที่จะเปลี่ยนการผลิต
ยิ่งไปกว่านั้นการสาบานอย่างปลอดภัยเพื่อรักษาระบบการตรวจสอบเพื่อตรวจจับภัยคุกคามภายนอกดำเนินการตรวจสอบความปลอดภัยอิสระและใช้บริการของบุคคลที่สามเพื่อระบุธุรกรรมที่เป็นอันตราย
