У связанной с властями КНДР хакерской группировки Lazarus Group есть «просчеты уровня дилетанта» в области операционной безопасности. К такому выводу пришли в BitMEX по итогам собственного расследования.
Эксперты обнаружили IP-адрес, базу данных и применяемые злоумышленниками алгоритмы отслеживания.
Один из участников группировки не использовал VPN и раскрыл свое фактическое местонахождение в городском округе Цзясин, Китай. Им удалось получить эту информацию после того, как с одним из сотрудников компании связался хакер через LinkedIn под предлогом партнерства в сфере NFT.
Злоумышленник пытался заставить жертву запустить на компьютере проект GitHub, содержащий вредоносный код. По словам представителей BitMEX, эта тактика стала отличительной чертой деятельности северокорейской группировки.
Также аналитики получили доступ к платформе Supabase, предназначенной для развертывания баз данных с простыми интерфейсами для приложений, применяемых Lazarus.
Анализ выявил связь между низкоквалифицированными членами команды социальной инженерии и их коллегами, ответственными за поиск уязвимостей в коде. В BitMEX допустили наличие в организации подгрупп с разным уровнем компетенций.
Напомним, в марте 2025 года северокорейские злоумышленники попытались попытались взломать криптопредпринимателей через Zoom. В том же месяце хакеры развернули новый вектор атак на цифровые активы через платформу для разработчиков GitHub.
В апреле сооснователь Manta Network Кенни Ли раскрыл подробности попытки взлома, предположительно организованного Lazarus.