Sicher veröffentlicht a Vorbericht am 6. März, der den Verstoß zuschreibt, der zum zur Bybit Hack an einen gefährdeten Entwickler -Laptop. Die Verwundbarkeit führte zur Injektion von Malware, die den Hack ermöglichte.
Die Täter umgehen die Multi-Faktor-Authentifizierung (MFA), indem sie aktiv ausnutzten Amazonas Webdienste (AWS) -Token, die einen unbefugten Zugriff ermöglichen.
Dies ermöglichte es Hackern, die sichere Geldbörsenschnittstelle von Bybit zu ändern und die Adresse zu ändern, an die der Austausch Ethereum im Wert von rund 1,5 Milliarden US-Dollar senden sollte (Ethereum im Wert von rund 1,5 Milliarden US-Dollar (Eth), was zu dem größten Hack in der Geschichte führt.
Kompromiss der Entwickler -Workstation
Der Verstoß stammt aus einer gefährdeten MacOS -Workstation eines sicheren Entwicklers, der im Bericht als „Entwickler1“ bezeichnet wird.
Am 4. Februar hat ein kontaminiertes Docker -Projekt mit einer böswilligen Domain mit dem Namen „GetStockprice) kommuniziert[.]com “, was auf Social Engineering Tactics vorschlägt. Entwickler 1 fügte Dateien aus dem kompromittierten Docker -Projekt hinzu, was ihren Laptop gefährdet.
Die Domain wurde am 2. Februar über Namecheap registriert. Slowmist wurde später GetStockPrice identifiziert[.]Info, eine am 7. Januar registrierte Domäne als bekannter Indikator für Kompromisse (IOC), die der demokratischen Volksrepublik Korea (DPRK) zugeschrieben wird.
Angreifer haben mit einer Benutzer-Agent-Zeichenfolge mit dem Titel „Distrib#Kali.2024“ auf das AWS-Konto von Developer 1 zugegriffen. Das Cybersecurity -Unternehmen Mandiant, die UNC4899 verfolgt, stellte fest, dass diese Kennung der Verwendung von Kali Linux entspricht, ein Toolset, das üblicherweise von offensiven Sicherheitspraktikern verwendet wird.
Darüber hinaus ergab der Bericht, dass die Angreifer ExpressVPN verwendeten, um ihre Ursprünge zu maskieren und gleichzeitig Operationen durchzuführen. Es auch betonte, dass der Angriff früheren Vorfällen mit UNC4899 ähnelt, einem mit Tradertraitor verbundenen Bedrohungsakteur, einem kriminellen Kollektiv, der angeblich an DPRK gebunden ist.
In einem früheren Fall vom September 2024 hat UNC4899 Telegramm eingesetzt, um einen Krypto-Austauschentwickler zur Behebung eines Docker-Projekts zu manipulieren, das Plottwist, eine MacOS-Malware der zweiten Stufe, die anhaltenden Zugriff ermöglichte.
Ausbeutung von AWS -Sicherheitskontrollen
Die AWS-Konfiguration von Safe erforderte alle 12 Stunden MFA-Neuauthentifizierung für Security Token Service (STS). Angreifer versuchten, konnten jedoch kein eigenes MFA -Gerät registrieren.
Um diese Einschränkung zu umgehen, entführten sie die Active AWS -Benutzersitzungsträger über Malware, die auf der Workstation von Developer1 gepflanzt wurde. Dies ermöglichte einen unbefugten Zugriff, während die AWS -Sitzungen aktiv blieben.
Mandiant identifizierte drei zusätzliche UNC4899-Brennungsdomänen, die im sicheren Angriff verwendet wurden. Diese Domänen, die ebenfalls über Namecheap registriert wurden, erschienen in AWS -Netzwerkprotokollen und in den Workstation -Protokollen von Developer1, was auf eine breitere Ausbeutung in der Infrastruktur hinweist.
Safe sagte, es habe nach dem Verstoß erhebliche Sicherheitsverstärkungen durchgeführt. Das Team hat die Infrastruktur umstrukturiert und die Sicherheit weit über die Voraussetzungen hinaus gestärkt. Trotz des Angriffs bleiben die intelligenten Verträge von Safe unberührt.
Das Sicherheitsprogramm von Safe umfasste Maßnahmen wie die Einschränkung des Zugangs zur privilegierten Infrastruktur auf einige Entwickler, die Durchsetzung der Trennung zwischen Entwicklungsquellencode und Infrastrukturmanagement sowie die Erfordernis mehrerer Peer -Überprüfungen vor der Produktionsveränderungen.
Darüber hinaus schwor sich sicher, Überwachungssysteme aufrechtzuerhalten, um externe Bedrohungen zu erkennen, unabhängige Sicherheitsaudits durchzuführen und Dienste von Drittanbietern zu nutzen, um böswillige Transaktionen zu identifizieren.
