一名朝鲜IT工作人员的一台受损设备暴露了价值68万美元的Favrr黑客攻击背后团队的内部运作方式,以及他们使用谷歌工具来瞄准加密货币项目。
总结- 一名朝鲜IT工作人员的受损设备暴露了威胁行为者的内部运作方式。
- 有证据表明,特工使用谷歌支持的工具、AnyDesk和VPN渗透加密货币公司。
据连锁侦探ZachXBT称,这起事件始于一位未透露姓名的消息人士,他访问了一名工人的电脑,发现了屏幕截图、Google Drive出口和Chrome个人资料,揭开了特工如何计划和实施他们的计划的面纱。
ZachXBT利用钱包活动和匹配的数字指纹验证了源材料,并将该集团的加密货币交易与2025年6月粉丝代币市场Favrr的利用联系起来。一个钱包地址“0x 78 e1 a”显示了事件被盗资金的直接链接。
行动内部
被泄露的设备显示,这个小团队--总共六名成员--共享至少31个假身份。为了找到区块链开发工作,他们收集了政府颁发的ID和电话号码,甚至购买LinkedIn和Upwork帐户来完成他们的掩护。
设备上发现的采访脚本显示,他们拥有在Polygon Labs、OpenSea和Chainlink等知名区块链公司的经验。
谷歌工具是他们有组织的工作流程的核心。发现威胁行为者正在使用驱动器电子表格来跟踪预算和时间表,而谷歌翻译则弥合了韩语和英语之间的语言差距。
从设备中提取的信息中包括一份电子表格,显示IT工作人员正在租用计算机并支付VPN访问费用,以便为其运营购买新帐户。
该团队还依赖AnyDesk等远程访问工具,使他们能够在不透露其真实位置的情况下控制客户端系统。VPN日志将他们的活动与多个地区联系起来,掩盖了朝鲜IP地址。
其他调查结果显示,该小组正在寻找在不同区块链上部署代币的方法,在欧洲寻找人工智能公司,并在加密货币领域制定新的目标。
朝鲜威胁行为者使用远程工作
ZachXBT在多份网络安全报告中发现了相同的模式--朝鲜IT工作人员找到合法的远程工作,然后进入加密货币行业。通过冒充自由开发人员,他们可以访问代码存储库、后台系统和钱包基础设施。
设备上发现的一份文件是面试笔记和准备材料,这些材料可能会在与潜在雇主通话时保存在屏幕上或附近。
