Компания по кибербезопасности Ctrl-Alt-Intel раскрыла масштабную и изощрённую хакерскую кампанию, нацеленную на ключевые компании криптоиндустрии. Исследователи обнаружили, что злоумышленники использовали несколько векторов атаки, включая эксплуатацию уязвимости React2Shell в популярном веб-фреймворке и компрометацию токенов доступа к облачной платформе Amazon Web Services (AWS).
Анализ тактики и целей указывает на возможную связь атакующих с северокорейскими государственными хакерскими группами. В ходе операции злоумышленники сканировали интернет в поисках криптоплатформ, использующих устаревшее программное обеспечение, уязвимое для React2Shell. В другом случае они уже имели действительные учётные данные AWS, что позволило им напрямую проникнуть в облачную инфраструктуру криптобиржи.
Попав в системы, хакеры проводили тщательную разведку. В облачных средах они картографировали всю инфраструктуру, перечисляя S3-бакеты, базы данных RDS, экземпляры EC2 и функции Lambda. Основной целью был поиск конфигурационных файлов, приватных ключей, учётных данных и исходного кода биржевого программного обеспечения. Особое внимание уделялось файлам состояния Terraform, которые часто содержат критически важные секреты инфраструктуры.
Атака затронула различные сегменты индустрии: стейкинг-сервисы, поставщиков биржевого софта и непосредственно криптобиржи. Исследователи обнаружили, что злоумышленники скопировали контейнерные образы Docker с проприетарной логикой криптобирж, включая приложения, разработанные провайдером инфраструктуры ChainUp. В украденных данных также содержались жёстко заданные учётные данные и конфигурации внутренних сервисов.
Были скомпрометированы секреты из AWS Secrets Manager и конфигураций Kubernetes. В одном из случаев в открытых конфигурационных файлах нашли приватные ключи от кошельков TRON, после чего была зафиксирована транзакция на 52.6 TRX. Исследователи также обнаружили на скомпрометированных серверах майнеры XMRig, что говорит о возможной одновременной эксплуатации уязвимостей другими криминальными группами.
Инфраструктура атаки была отслежена до серверов в Южной Корее (IP 64.176.226[.]36, домен itemnania[.]com). Для маскировки происхождения использовались узлы FlyVPN. Управление осуществлялось через инструменты VShell и FRP. Эксперты отмечают сходство тактики с предыдущими операциями группы TraderTraitor, также связанной с Северной Кореей и специализирующейся на атаках на криптоиндустрию. Исследователи оценивают атрибуцию атаки Северной Корее как умеренно уверенную, но подчёркивают, что собранные улики указывают именно на эту группировку.
