Резюме
Как северокорейские хакеры проникают в облачные среды для кражи криптовалюты? Согласно отчету Google Cloud о угрозах в облаке за второе полугодие 2025 года, команда Threat Intelligence компании отслеживает хакерскую группу UNC4899, связанную с Северной Кореей, обвиняемую в нарушении безопасности двух организаций после установления контакта с сотрудниками через социальные сети.
«Активная с 2020 года, UNC4899 в основном нацелена на криптовалютную и блокчейн-индустрии и продемонстрировала сложные возможности для выполнения сложных компрометаций цепочки поставок», — говорится в отчете.
Методы атак
В документе отмечается, что в период с третьего квартала 2024 года по первый квартал 2025 года компания Mandiant отреагировала на два отдельных инцидента, связанных с UNC4899, затронувших облачную среду одной организации в Google Cloud и другой в AWS. Хотя начальные и конечные этапы вторжений использовали общие тактики, методы, применяемые в промежуточных фазах, различались, вероятно, отражая различия в архитектуре систем жертв.
На начальном этапе этих атак хакеры установили контакт с жертвами через социальные сети: один через Telegram, а другой через LinkedIn, выдавая себя за рекрутеров по разработке программного обеспечения на фрилансе. Целевые сотрудники невольно запускали вредоносные контейнеры Docker на своих рабочих станциях.
Это действие привело к развертыванию вредоносного ПО, включая загрузчики, такие как GLASSCANNON, и вторичные полезные нагрузки, такие как задние двери PLOTTWIST и MAZEWIRE, что в конечном итоге позволило злоумышленникам подключиться к их серверам управления и контроля (C2).
«В обоих случаях UNC4899 провела несколько внутренних разведывательных мероприятий на хостах жертв и связанных с ними средах, прежде чем получить учетные данные, которые они использовали для перехода в облачные среды жертв», — отмечается в отчете.
Поддельные предложения о работе
Северокорейские хакеры все чаще полагаются на поддельные предложения о работе для проникновения в компании. В июле Министерство финансов США наложило санкции на Сонг Кум Хёка за предполагаемое участие в схеме, которая помещала замаскированных северокорейских IT-работников в американские компании для генерации дохода для Корейской Народно-Демократической Республики (КНДР).
Эти работники, часто находящиеся в Китае или России, использовали ложные имена и национальности, при этом работодатели не подозревали о мошенничестве.
Безопасность криптоплатформ
Поскольку глобальные угрозы заставляют криптоплатформы ужесточать безопасность, это является мощным напоминанием о том, почему децентрализованные, управляемые сообществом экосистемы, такие как Shibarium, имеют значение. В отличие от традиционных структур, уязвимых для централизованных атак, открытая инфраструктура Shibarium позволяет разработчикам строить с прозрачностью, устойчивостью и доверия в основе.
Эта децентрализация не только затрудняет злоумышленникам, таким как хакерские группы, поддерживаемые государством, получить foothold, но и позволяет быстрее обнаруживать и реагировать на возникающие уязвимости.
Поскольку криптопространство сталкивается с растущими киберрисками, экосистемы, такие как Shibarium, подчеркивают другой путь вперед, основанный на децентрализации, прозрачности и общей приверженности созданию инструментов, которые служат, а не эксплуатируют людей.
