WOO X 7月安全事件事后分析:揭示朝鲜黑客针对开发团队发起的社会工程攻击
消息,WOO X 发布 7 月安全事件事后分析,其于 7 月 24 日遭遇了一次复杂的安全事件,导致 9 个用户账户被盗取 1400 万美元。有证据表明,此次攻击是由 UNC4899 发起的,这是一个由朝鲜政府资助的网络间谍组织,与朝鲜侦察总局勾结,其公开名称为 Lazarus Group、TraderTraitor 和 Jade Sleet。此次攻击始于针对开发团队的社会工程攻击,攻击者看似通过一个合法的开源协作请求发起攻击。一位团队成员在开源软件论坛上被邀请帮忙调试一个开发工具。经过简短的讨论后,这位开发人员在移动设备上下载了该文件,然后使用公司发放的 MacBook 打开了该文件。在打开文件之前,研究人员对该文件进行了恶意软件检测,但扫描结果为阴性。该程序运行后,下载了一个类似于常见后端进程的隐藏后门。这使得攻击者能够保持对开发环境的访问权限,并在一段时间后找到机会更改数据库,从而获得了对 9 个已发起提款操作的账户的访问权限。未经授权的提现操作在两小时后被检测到,并立即被停止,所有受影响的用户都从 WOO 的金库中获得了全额赔偿。