Safe: хакеры из TraderTraitor использовали уязвимость MacBook в ограблении ByBit

Обнаружено, что инцидент стал возможен благодаря уязвимости нулевого дня в MacBook одного из сотрудников компании Safe{Wallet}, чьи продукты использовались для управления активами ByBit. Хакеры смогли получить доступ к ноутбуку разработчика и извлечь AWS-токены сессии, что дало им возможность обойти многофакторную аутентификацию и проникнуть в инфраструктуру биржи.

Разработчик, ставший жертвой, имел высокие привилегии, что позволило злоумышленникам осуществить свои действия беспрепятственно. Они действовали осторожно, удаляя вредоносное ПО и скрывая свои следы в системе. Расследование установило, что атака произошла 4 февраля 2025 года, когда вредоносный код проник в систему через Docker-проект, связанный с сайтом getstockprice.com.

Хотя сам проект был удалён к моменту анализа, файлы в каталоге загрузок указывают на использование социальной инженерии при первичном доступе. Для входа в AWS-аккаунт разработчика хакеры применяли сервис ExpressVPN, маскируя свои действия под легитимные. Кроме того, они тщательно следили за рабочим графиком своей цели, адаптируя свои действия под него и используя украденные токены для незаметного доступа в систему.

Расследователи также заметили, что TraderTraitor имеет связи с другой северокорейской хакерской группой APT38, известной также как BlueNoroff и Stardust Chollima, которая является частью более широкой киберпреступной сети, известной как Lazarus.

Недавнее расследование, проведенное компаниями Safe{Wallet} и Mandiant, раскрыло детали серьезной кибератаки на криптобиржу ByBit, в результате которой было похищено почти $1,5 миллиарда в криптовалютах. За этой атакой стоит хакерская группировка из Северной Кореи, известная как TraderTraitor.