Северокорейская киберугроза UNC4899 усилила свои атаки на криптовалютную индустрию, применяя поддельные вакансии для доступа к системам компаний и осуществления кражи.
Стратегии атаки UNC4899
Согласно отчетам от Google Cloud и компании Wiz, UNC4899 использует высокоэффективные методы социальной инженерии и облачные уязвимости для вторжения в организации. Злоумышленники маскируются под рекрутеров на таких платформах, как LinkedIn и Telegram, чтобы завести контакт с сотрудниками и убедить их запустить вредоносные Docker-контейнеры. Это позволяет им устанавливать бэкдоры для доступа к внутренним системам.
Важные инциденты и ущерб
Группа UNC4899 сосредоточила свои усилия на поддельных предложениях о работе, нацеливаясь на сотрудников криптобирж и стартапов в блокчейн-индустрии. К числу самых крупных хищений относят кражу 305 миллионов долларов у DMM Bitcoin и атаку на 1,5 миллиарда долларов на Bybit в конце 2024 года. Общая оценка ущерба от действий UNC4899 составляет десятки миллионов долларов.
Оценка ущерба и выводы
Оценки ущерба от хакеров, связанных с Северной Кореей, варьируются. По данным Chainalysis, они украли 1,34 миллиарда долларов в криптовалюте в 2024 году, тогда как Wiz предполагает, что эта сумма возросла до 1,6 миллиарда долларов к середине 2025 года.
Атаки UNC4899 подчеркивают растущие угрозы со стороны государственного сектора в области кибербезопасности, особенно в текущее время, когда криптоиндустрия продолжает расти.
