Bitmex Trewars Lazarus Group的黑客尝试，暴露了黑客IP和OPS缺陷

Bitmex已将Lazarus集团失败的黑客尝试撤回了窗帘，通过与朝鲜的网络战队相关的集体犯下了草率的错误。

根据Bitmex周五发布的博客文章，该团队现在已经建立了一个内部监视系统，以期观察更多的感染并可能捕获未来的操作安全错误。

整个过程始于Bitmex员工联系，并提出了一项针对假NFT市场项目的建议，但是该提议与Lazarus使用的已知网络钓鱼策略相匹配，因此该员工立即报告了这一点，开始进行全面调查。

Bitmex的安全团队访问了攻击者共享的GitHub存储库，其中包含一个next.js/react项目。但是埋在里面的是旨在让员工在系统上执行恶意有效载荷的代码。团队没有运行代码，他们直接进行分析。

Bitmex剖析恶意软件，找到Lazarus指纹

在存储库中，BITMEX工程师搜索了术语评估，这是恶意软件中常见的危险信号。已经评论了一条代码线，但仍然揭示了意图。如果活动活动，它将与“ net/api/api/user/thixcookie/v3/726”接触到“ hxxp：// reamizecheck [。]，以获取cookie并执行它。该领域以前曾被Palo Alto Networks的42单元与Lazarus联系起来，该团队是 tracKed Dprk网络活动多年。

另一条线是活动的。它向“ HXXP：// FASH defi [。]存储：6168/defy/v5”发送了一个请求，并执行了响应。 Bitmex手动获取了JavaScript，发现它被严重混淆。据报道，使用WebCrack（用于Deobfuscating代码的工具），该团队将这些层次拆除。最终的输出很混乱，但可以阅读，因为它看起来像是三个不同的脚本。

该代码的一部分包含我dentChrome扩展名，这通常指向Credential窃取恶意软件。一个字符串P.Zi看起来像Beavertail活动中使用的较旧的Lazarus恶意软件，这是第42单元先前记录的另一个操作。Bitmex决定不重新分析Beavertail组件，因为它已经公开了。

相反，他们专注于另一个发现：连接到supabase实例的代码。 Supabase是开发人员的后端平台，有点像Firebase。问题？拉撒路开发人员没有锁定它。当Bitmex测试它时，他们能够直接访问数据库 - 没有登录，没有保护。

黑客暴露感染的设备日志及其自己的IP

Supabase数据库具有37个受感染机器的日志。每个条目都显示用户名，主机名，操作系统，IP地址，地理位置和时间戳。 BITMEX注意到了模式 - 某些设备反复出现，这使它们成为开发人员或测试机。大多数主机名的命名格式遵循3-XXX结构。

许多IP来自VPN提供商。一位用户“ Victor”通常使用触摸VPN连接。另一个“ Ghost72”使用了Astrill VPN。但是随后维克多搞砸了。与他相关的一个条目具有不同的IP -223.104.144.97，在中国移动设备下，中国的JIAXING的ResidentIL IP。那不是VPN。那可能是拉撒路运营商的真正IP地址。 Bitmex将其标记为主要操作故障。

然后，Bitmex构建了一个工具来继续ping supabase数据库。自5月14日以来，该工具从数据库中收集了856个条目，该项目的历史可追溯至3月31日。其中，有174种独特的用户名和主机名组合。该系统现在不断运行，寻找攻击者的新感染或更多错误。

通过检查时间戳，BITMEX发现Lazarus活动在Pyongyang的上午8点至下午1点之间下降，即下午5点至晚上10点。这与结构化的工作时间表相符，进一步证明了该小组不仅是一些自由职业黑客，而且是一个有组织的团队。

安全团队确认拉撒路模式和内部分裂

拉撒路集团拥有社会工程攻击的已知历史。在较早的Incident中，像Bybit漏洞一样，他们欺骗了一个安全钱包的员工来运行恶意文件。这使他们最初的访问权限。

然后，团队的另一部分接管了AWS环境，并更改了前端代码，从冷钱包中偷走了加密货币。 Bitmex表示，这种模式表明该小组可能分为多个团队 - 有些人会进行基本的网络钓鱼，而另一些则可以在获得访问后处理高级入侵。

Bitmex写道：“在过去的几年中，该小组似乎已经分为多个子组，这些子组不一定具有相同的技术成熟。”安全团队表示，该活动遵循相同的模板。 LinkedIn上的最初消息很简单，Github repo业余。

但是，解释后的脚本表现出了更大的技能，显然是由经验丰富的人建造的。去除恶意软件后，Bitmex能够trac妥协（IOC）的指标并将其馈入其内部系统。

他们重命名了变量，清洁了脚本，并遵循了脚本的工作方式。该代码的早期部分是新的，据报道系统数据（用户名，IP等）直接发送到Supabase，这使trac King变得容易……对于找到开放数据库的任何人。

Bitmex也dent开发过程中使用的机器。示例包括Victor@3-KZH，该@touch VPN和中国手机使用。其他类似Ghost72@3-UJS-2和Super@3-Ahr-2的人则使用了Astrill，Zoog和Hotspot Shield的混合。日志甚至显示了用户帐户，例如Admin@3-Hij，Lenovo@3-RK，Goldrock@Desktop-N4Vel23和Muddy@desktop-Mk87cbc。这些可能是攻击者建立的测试环境。

钥匙差线有助于加密品牌突破并快速统治头条