Хакерське угруповання TraderTraitor, пов’язане з Північною Кореєю, стоїть за крадіжкою криптовалюти на суму $1,5 млрд із криптобіржі ByBit. Ключовою причиною злому стала вразливість нульового дня в MacBook співробітника Safe{Wallet}, чиї продукти використовувалися біржею. Зловмисники отримали доступ до системи через AWS-токени сесії, що дозволило їм обійти багатофакторну автентифікацію та проникнути в інфраструктуру ByBit.
За даними розслідування Safe{Wallet} та Mandiant, хакери використали шкідливе ПЗ для доступу до привілейованого акаунту розробника. Вони видалили сліди своєї діяльності після проникнення, що ускладнило ідентифікацію атаки. Встановлено, що зараження сталося 4 лютого 2025 року через Docker-проєкт при підключенні до ресурсу getstockprice.com.
Хакери застосували методи соціальної інженерії для початкового доступу до системи. Для приховування слідів у мережі вони використовували ExpressVPN, маскуючи свою активність під легітимні дії розробника. Нападники ретельно відстежували робочий розклад жертви, використовуючи викрадені токени для прихованого доступу.
TraderTraitor пов’язують із відомими угрупованнями APT38, BlueNoroff та Stardust Chollima, що є частиною синдикату Lazarus. Ці угруповання раніше здійснювали подібні масштабні атаки на фінансові структури.
Джерело: itechua.com