De aanval begon toen een Noord-Koreaanse cybercrimineel zich voordeed als recruiter en een kwaadaardig Python-script, vermomd als een sollicitatietest, stuurde naar een werknemer van Ginco, een Japans softwarebedrijf gespecialiseerd in cryptowallets. De werknemer uploadde het script onbewust naar GitHub, waardoor het systeem werd gecompromitteerd en hackers toegang kregen tot essentiële sessiecookies. Met deze toegang konden de aanvallers het communicatiesysteem van Ginco misbruiken en een transactie van DMM manipuleren, waarbij 4.502,9 Bitcoin (BTC), destijds gewaardeerd op $308 miljoen, werd gestolen.
De gestolen fondsen zijn verplaatst naar wallets die worden beheerd door TraderTraitor. Hoewel de autoriteiten de transacties volgen, blijven de hackers hun sporen proberen te verbergen. Deze diefstal maakt deel uit van een bredere campagne van Noord-Koreaanse cybercriminelen, vaak in verband gebracht met de Lazarus-groep, die bekend staat om aanvallen op financiële instellingen en cryptoplatforms om het regime te financieren.
Het FBI en zijn internationale partners benadrukken de dringende noodzaak om de cybersecuritymaatregelen in de cryptosector te versterken om toekomstige aanvallen te voorkomen. Hoewel cryptotransacties een zekere mate van anonimiteit bieden, kunnen grote geldstromen nog steeds worden getraceerd op de blockchain. Het terughalen van gestolen fondsen blijft echter een grote uitdaging.
Dit incident benadrukt het cruciale belang voor organisaties in de financiële en cryptosector om robuuste verdedigingen te implementeren tegen geavanceerde social engineering- en malware-aanvallen. De inbreuk op DMM dient als een duidelijke herinnering aan de toenemende cyberdreigingen van door staten gesteunde actoren in een voortdurend veranderend digitaal landschap.
Source: The Cyber Express
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.