Bitmex a levé le voile sur une tentative de piratage échouée du groupe Lazarus, révélant des erreurs maladroites d’un collectif longtemps associé à l’unité de cyber-guerre de la Corée du Nord.
Dans un article de blog publié vendredi par Bitmex, l’équipe a annoncé avoir mis en place un système de surveillance interne pour détecter davantage d’infections et éventuellement identifier des erreurs de sécurité opérationnelle futures.
Tout a commencé lorsqu’un employé de Bitmex a été contacté sur LinkedIn avec une proposition de travailler sur un faux projet de marché NFT. L’offre correspondait à une technique de phishing bien connue utilisée par Lazarus, donc l’employé l’a immédiatement signalée, déclenchant une enquête approfondie.
L’équipe de sécurité de Bitmex a accédé à un référentiel GitHub que l’attaquant a partagé, contenant un projet Next.js / React. Mais au milieu, se trouvait un code conçu pour inciter l’employé à exécuter sans le savoir une charge utile malveillante sur son système. L’équipe n’a pas exécuté le code, préférant procéder à une analyse directe.
Bitmex dissèque les logiciels malveillants et trouve les empreintes digitales de Lazarus
À l’intérieur du dépôt, les ingénieurs de Bitmex ont recherché le terme EVAL, un indicateur courant de logiciels malveillants. Une ligne de code avait été commentée, mais cela révélait toujours l’intention. Si elle avait été active, elle aurait contacté «hxxp: // RegionCheck[.]net / api / user / thirdcookie / v3 / 726” pour récupérer un cookie et l’exécuter.
Une autre ligne était active. Elle a envoyé une demande à «hxxp: // fashdefi[.]Store: 6168 / Defy / V5” et a exécuté la réponse. L’équipe de Bitmex a manuellement examiné ce Javascript et a découvert qu’il était fortement obscurci. En utilisant webcrack, un outil de déobfuscation de code, l’équipe a réussi à en retirer les couches.
Une partie du code contenait des identifiants pour des extensions Chrome, pointant généralement vers un vol de données. Une chaîne, P.Zi, ressemblait à des malwares de Lazarus utilisés dans la campagne Beavertail, une autre opération déjà documentée par l’unité 42. Bitmex a décidé de ne pas réanalyser le composant Beavertail, car il était déjà d’usage public.
Au lieu de cela, ils se sont concentrés sur une autre découverte : le code connecté à une instance Supabase. Supabase est une plateforme backend pour les développeurs, similaire à Firebase. Le problème ? Les développeurs de Lazarus ne l’avaient pas sécurisé. Lorsque Bitmex l’a testé, ils ont pu accéder directement à la base de données, sans connexion, sans protection.
Les pirates exposent les journaux des appareils infectés et leurs propres IP
La base de données Supabase contenait 37 journaux d’appareils infectés. Chaque entrée affichait le nom d’utilisateur, le nom d’hôte, le système d’exploitation, l’adresse IP, la géolocalisation et l’horodatage. Bitmex a remarqué des modèles – certains appareils apparaissant plusieurs fois, ce qui les identifiait comme des machines de développement ou de test. La plupart des noms d’hôtes suivaient une structure 3-xxx.
Beaucoup d’adresses IP provenaient de fournisseurs de VPN. Un utilisateur, «Victor», était souvent connecté via Touch VPN. Un autre, «Ghost72», utilisait Astrill VPN. Mais ensuite, Victor a fait une erreur. Une entrée liée à lui affichait une IP différente – 223.104.144.97, une adresse IP résidentielle à Jiaxing, en Chine, sous China Mobile. Ce n’était pas un VPN. C’était probablement la véritable adresse IP d’un opérateur de Lazarus. Bitmex l’a signalée comme une défaillance majeure des opérations.
Bitmex a ensuite construit un outil pour continuer à surveiller la base de données Supabase. Depuis le 14 mai, l’outil a collecté 856 entrées dans la base de données, remontant au 31 mars. Parmi elles, on comptait 174 combinaisons uniques de noms d’utilisateur et de noms d’hôtes. Le système fonctionne désormais en continu, à la recherche de nouvelles infections ou d’autres erreurs de la part des attaquants.
En examinant les horodatages, Bitmex a constaté que l’activité de Lazarus se déroulait entre 8h et 13h UTC, soit de 17h à 22h à Pyongyang. Cela correspondait à un emploi du temps structuré, fournissant des preuves supplémentaires que le groupe est bien organisé et ne se compose pas simplement de pirates indépendants.
L’équipe de sécurité confirme le modèle de Lazarus et la division interne
Le groupe Lazarus a un historique bien connu d’attaques d’ingénierie sociale. Dans des incidents précédents tels que la violation de Bybit, ils ont trompé un employé du portefeuille Safe pour gérer un fichier malveillant, leur permettant d’accéder initialement.
Ensuite, une autre partie de l’équipe a pris le relais, accédant à l’environnement AWS et modifiant le code front pour siphonner la crypto des portefeuilles froids. Bitmex a déclaré que ce modèle laisse penser que le groupe est probablement divisé en plusieurs équipes – certaines réalisant le phishing de base, d’autres gérant des intrusions avancées une fois l’accès obtenu.
Bitmex a déclaré : “Au cours des dernières années, le groupe semble s’être fragmenté en plusieurs sous-groupes dont la sophistication technique varie.” L’équipe de sécurité a ajouté que cette campagne suivait le même modèle. Le message initial sur LinkedIn était simple, le dépôt GitHub était amateur.
Cependant, le script post-exploitation affichait un niveau de compétences beaucoup plus élevé, clairement élaboré par quelqu’un de plus expérimenté. Après avoir déobfusqué le malware, Bitmex a pu extraire des indicateurs de compromis (IOC) et les intégrer dans ses systèmes internes.
Ils ont renommer des variables, nettoyé le script et suivi son fonctionnement. La première partie du code était neuve, envoyant directement des données système (nom d’utilisateur, IP, etc.) dans Supabase, facilitant le suivi… pour quiconque trouvant la base de données ouverte.
Bitmex a également identifié des machines utilisées durant le développement. Parmi les exemples, on a Victor @ 3-kzh, qui était utilisé avec Touch VPN et China Mobile. D’autres comme Ghost72 @ 3-UJS-2 et Super @ 3-ahr-2 ont utilisé un mélange de VPN d’Astrill, Zoog et Hotspot. Les journaux ont même montré des comptes utilisateur comme Admin @ 3-HIJ, Lenovo @ 3-rks, GoldRock @ Desktop-N4VEL23 et Muddy @ Desktop-MK87CBC, probablement des environnements de test configurés par les attaquants.
Le fil de différence clé aide les marques de crypto à briser et à dominer les titres rapidement.
Source: https://www.cryptopolitan.com/bitmex-thwarts-lazarus-groups-hack-atempt/
Résumé : Bitmex a exposé une tentative de piratage du groupe Lazarus, démontrant l’importance d’une surveillance proactive en matière de cybersécurité. Grâce à une enquête approfondie, l’équipe a découvert des erreurs de sécurité, des schémas d’activité malveillante et a renforcé ses mesures de défense pour contrer les menaces futures.
