Zusammenfassung
Slow Pisces (auch bekannt als Jade Sleet, TraderTraitor, PUKCHONG) ist eine nordkoreanische, staatlich geförderte Bedrohungsgruppe, die sich in erster Linie darauf konzentriert, Einnahmen für das nordkoreanische Regime zu generieren, typischerweise durch Angriffe auf große Organisationen im Kryptowährungssektor. Dieser Artikel analysiert ihre Kampagne, von der wir glauben, dass sie mit den jüngsten Kryptowährungsdieben in Verbindung steht.
In dieser Kampagne kontaktierte Slow Pisces Kryptowährungsentwickler auf LinkedIn. Sie gaben sich als potenzielle Arbeitgeber aus und schickten Malware, die als Coding-Herausforderung getarnt war. Diese Herausforderungen verlangen von den Entwicklern, dass sie ein kompromittiertes Projekt ausführen und ihre Systeme mit Malware infizieren, die wir RN Loader und RN Stealer genannt haben.
Die Gruppe soll im Jahr 2023 über 1 Milliarde USD aus dem Kryptowährungssektor gestohlen haben. Sie haben dies mit verschiedenen Methoden erreicht, darunter gefälschte Trading-Anwendungen, Malware, die über den Node Package Manager (NPM) verteilt wird, und Lieferkettenkompromittierungen.
Im Dezember 2024 schrieb das FBI den Diebstahl von 308 Millionen Dollar von einem in Japan ansässigen Kryptowährungsunternehmen Slow Pisces zu. In jüngster Zeit machte die Gruppe Schlagzeilen wegen ihrer angeblichen Beteiligung an dem Diebstahl von 1,5 Milliarden Dollar aus einer Kryptowährungsbörse in Dubai.
Wir haben unsere Threat Intelligence mit Analysten von GitHub und LinkedIn geteilt, um die entsprechenden Konten und Repositories zu entfernen.
Sie haben daraufhin die folgende Erklärung abgegeben:
GitHub und LinkedIn haben diese bösartigen Konten entfernt, weil sie gegen unsere jeweiligen Nutzungsbedingungen verstoßen haben. Bei allen unseren Produkten setzen wir automatisierte Technologien ein, kombiniert mit Teams von Ermittlungsexperten und Mitgliederberichten, um bösartige Akteure zu bekämpfen und die Nutzungsbedingungen durchzusetzen. Wir entwickeln und verbessern unsere Prozesse kontinuierlich weiter und ermutigen unsere Kunden und Mitglieder, verdächtige Aktivitäten zu melden.
Zusätzliche Informationen
- GitHub-Benutzer können weitere Informationen auf unseren Seiten Richtlinien zur akzeptablen Nutzung und Missbrauch und Spam melden finden.
- LinkedIn-Nutzer können hier mehr darüber erfahren, wie sie Missbrauch erkennen und melden können: Spam, unangemessene und beleidigende Inhalte erkennen und melden | LinkedIn Hilfe
In diesem Bericht wird detailliert beschrieben, wie Slow Pisces Malware in seinen Coding-Herausforderungen verbirgt und wie die Gruppe ihre Werkzeuge einsetzt, um der Branche ein besseres Verständnis für diese Bedrohung zu vermitteln.
Palo Alto Networks Kunden sind durch unsere Next-Generation Firewall mit Advanced URL Filtering- und Advanced DNS Security-Abonnements besser vor den in diesem Artikel beschriebenen Bedrohungen geschützt.
Wenn Sie glauben, dass Sie kompromittiert worden sein könnten oder eine dringende Angelegenheit haben, kontaktieren Sie das Unit 42 Incident Response Team.
| Verwandte Themen der Unit 42 | Cryptocurrency, DPRK |
Technische Analyse
Unsere Sichtbarkeit dieser Kampagne folgt im Großen und Ganzen drei Schritten, die unten in Abbildung 1 dargestellt sind.
Stufe 1 - PDF-Köder
Slow Pisces begann damit, sich auf LinkedIn als Personalvermittler auszugeben und mit potenziellen Zielpersonen in Kontakt zu treten, indem sie diesen ein harmloses PDF mit einer Stellenbeschreibung schickte, wie in Abbildung 2 dargestellt. Wenn sich die potenziellen Ziele meldeten, stellten die Angreifer sie vor eine Coding-Herausforderung, die aus mehreren Aufgaben bestand, die in einem Fragebogen beschrieben waren.
Wir haben beobachtet, dass Slow Pisces sich mit diesen Ködern als verschiedene Organisationen ausgibt, vor allem im Bereich der Kryptowährungen. Die Fragebögen enthalten allgemeine Softwareentwicklungsaufgaben und eine Programmieraufgabe für ein "echtes Projekt", die mit einem GitHub-Repository verlinkt ist, das in Abbildung 3 unten dargestellt ist.
Stufe 2 - GitHub Repositories
Slow Pisces präsentierte den Zielen sogenannte Coding-Herausforderungen als Projekte aus GitHub-Repositories. Die Repositories enthielten Code, der von Open-Source-Projekten übernommen wurde, einschließlich Anwendungen zum Betrachten und Analysieren:
- Daten zum Aktienmarkt
- Statistiken aus europäischen Fußballligen
- Wetterdaten
- Preise für Kryptowährungen
Die Gruppe verwendete in erster Linie Projekte in Python oder JavaScript, wahrscheinlich abhängig davon, ob sich die Zielperson für eine Front-End- oder Back-End-Entwicklungsposition bewarb. Wir haben in dieser Kampagne auch Java-basierte Repositories gesehen, allerdings waren sie weitaus weniger verbreitet, mit nur zwei Fällen, die sich als eine Kryptowährungsanwendung namens jCoin ausgaben.
Diese geringe Anzahl deutet darauf hin, dass die Angreifer Repositories nach Bedarf erstellt haben könnten, basierend auf der bevorzugten Programmiersprache der Zielperson. Folglich verwendete die Gruppe häufiger Sprachen, die im Kryptowährungssektor beliebter sind, wie JavaScript und Python. Ebenso könnten unentdeckte Repositories auch für andere Programmiersprachen existieren.
Stufe 3a - Python-Repository
Ende 2024 verwendete die Gruppe ein Projekt mit dem Titel "Stocks Pattern Analyzer", das von einem legitimen Repository übernommen wurde (siehe Abbildung 4).
Der größte Teil des Codes in diesem Repository ist harmlos. Wenn die Zielpersonen versuchen, das Projekt gemäß dem Fragebogen auszuführen, werden die Daten von drei entfernten Standorten abgerufen:
- hxxps://de.wikipedia[.]org/wiki/Liste_der_S%26P_500_Unternehmen
- hxxps://de.wikipedia[.]org/wiki/Currency_pair
- hxxps://de.stockslab[.]org/symbols/sp500
Zwei der URLs beziehen Daten aus Wikipedia. Die dritte URL verwendet eine Domain, die von Slow Pisces kontrolliert wird. Das Muster, der Verwendung mehrerer Datenquellen, von denen die meisten legitim, aber eine bösartig ist, ist in den Python-Repositories der Gruppe weit verbreitet.
Der bösartige Command-and-Control-Server (C2) ist so konfiguriert, dass er das Format der legitimen Quellen nachahmt. In diesem Fall wird die Subdomain .en und die Top-Level-Domain (TLD) org verwendet, wie wir es oben bei der legitimen Wikipedia-Domain sehen.
YAML-Deserialisierung
Slow Pisces konnte Malware einfach direkt im Repository platzieren oder Code vom C2-Server mit den in Python eingebauten Funktionen eval oder exec ausführen. Diese Techniken sind jedoch leicht zu erkennen, sowohl durch manuelle Prüfung als auch durch Antivirus-Lösungen.
Stattdessen stellt Slow Pisces zunächst sicher, dass der C2-Server mit gültigen Anwendungsdaten antwortet. Das oben erwähnte Repository erwartet zum Beispiel eine Liste der Symbole der S&P 500-Unternehmen. Die C2 URL antwortet zunächst mit diesen Daten in einer JSON-formatierten Liste.
Die Bedrohungsakteure senden eine bösartige Payload nur an überprüfte Ziele, wahrscheinlich auf der Grundlage von IP-Adresse, Geolocation, Zeit und HTTP-Anfrage-Headern. Die Konzentration auf Einzelpersonen, die über LinkedIn kontaktiert werden, im Gegensatz zu breit angelegten Phishing-Kampagnen, ermöglicht es der Gruppe, die späteren Phasen der Kampagne genau zu kontrollieren und die payload nur an die erwarteten Opfer zu liefern.
Um die verdächtigen eval- und exec-Funktionen zu vermeiden, verwendet Slow Pisces YAML-Deserialisierung , um seine Payload auszuführen, wie in Abbildung 5 gezeigt.
Dieser Code holt Daten vom C2-Server über HTTPS ab und überprüft den Content-Type Antwort-Header. Wenn die Kopfzeile JSON-Daten angibt (application/json), parst der Code die JSON-Daten und gibt sie an die Anwendung zurück.
Wenn die Antwort YAML-Daten(application/yaml) enthält, verwendet der Code die Funktion yaml.load() aus der PyYAML -Bibliothek, um die Daten zu analysieren. Diese Funktion ist von Natur aus unsicher und die PyYAML-Dokumentation empfiehlt ausdrücklich yaml.safe_load() für nicht vertrauenswürdige Eingaben.
YAML wird in der Regel für Konfigurationsdateien verwendet, wie das unten gezeigte Beispiel:
|
1 2 3 4 5 6 7 8 9 |
username: slow password: pisces api: key: supersecret url: example.com |
Allerdings kann yaml.load() beliebige Python-Objekte serialisieren und deserialisieren, nicht nur gültige YAML-Daten. Der folgende Python-Code gibt zum Beispiel die Zahlen 0-4 aus:
|
1 |
range(0, 5) |
Wenn dieser Code mit yaml.dump() serialisiert wird, sieht er folgendermaßen aus:
|
1 2 3 4 5 6 7 |
!!python/object/apply:builtins.range - 0 - 5 - 1 |
Wenn diese Daten schließlich an yaml.load() übergeben werden, wird der ursprüngliche Code ausgeführt: range(0, 5).
Dies weist auf einen potenziellen Erkennungspunkt hin, da die payload für das Python-Repository und Malware, die YAML-Deserialisierung im Allgemeinen verwendet, !!python/object/apply:builtins enthält, wenn die Payload eine integrierte Python-Funktion verwendet.
Die folgenden Stufen in Tabelle 1 befinden sich hauptsächlich im Speicher und haben im Allgemeinen keinen Fußabdruck auf der Festplatte. Um die Community bei der Erkennung und Sensibilisierung zu unterstützen, haben wir diese Payloads bei VirusTotal hochgeladen. Die YAML-Deserialisierungs-Payload führt Malware aus, die wir aufgrund des C2-Token-Formats, das wir bei RN Stealer beobachtet haben und das wir in den folgenden Abschnitten erörtern, RN Loader und RN Stealer nennen.
| Bühne | SHA256 Hash |
| YAML Deserialisierungs Payload | 47e997b85ed3f51d2b1d37a6a61ae72185d9ceaf519e2fdb53bf7e761b7bc08f |
| RN Loader | 937c533bddb8bbcd908b62f2bf48e5bc11160505df20fea91d9600d999eafa79 |
| RN Stealer | e89bf606fbed8f68127934758726bbb5e68e751427f3bcad3ddf883cb2b50fc7 |
Tabelle 1. Python-Repository-Payload.
Die YAML-Deserialisierungs-Payload von Slow Pisces beginnt mit der Erstellung des Ordners Public im Home-Verzeichnis des Opfers und der Erstellung einer neuen Datei in diesem Verzeichnis namens __init__.py. Die eingebetteten Base64-Daten werden dekodiert und in diese Datei geschrieben, die die nächste Infektionsstufe (RN Loader) enthält, die dann ausgeführt wird.
RN Loader
Diese neu erstellte Datei für RN Loader unter ~/Public/__init__.py löscht sich nach der Ausführung selbst, um sicherzustellen, dass sie nur im Speicher existiert. Es sendet grundlegende Informationen über den Computer des Opfers und des Betriebssystems über HTTPS an denselben C2 unter de.stockslab[.]org, gefolgt von einer Befehlsschleife mit den folgenden Optionen in Tabelle 2.
| Code | Beschreibung |
| 0 | Pause für 20 Sekunden |
| 1 | Base64-dekodiert gesendete Inhalte und speichert sie in der Datei init.dll für Windows oder init für alle anderen Betriebssysteme.
Setzt eine Umgebungsvariable X_DATABASE_NAME auf eine leere Zeichenkette. Lädt und führt die heruntergeladene DLL mit ctypes.cdll.LoadLibrary aus. |
| 2 | Base64-dekodiert gesendete Inhalte und führt sie mit dem in Python integrierten exec aus. |
| 3 | Base64-dekodiert gesendete Inhalte und einen Parameter. Der Inhalt wird in der Datei dockerd gespeichert, während der Parameter als docker-init gespeichert wird.
dockerd wird dann in einem neuen Prozess ausgeführt, wobei docker-init als Befehlszeilenargument übergeben wird. |
| 9 | Beendet die Ausführung. |
Tabelle 2. RN Loader-Befehlstabelle.
Die Payload der Befehlsschleife aus Tabelle 2 mit den Optionen 1 und 3 sind derzeit unbekannt und werden wahrscheinlich durch bestimmte Bedingungen ausgelöst. Wir haben jedoch einen Python-basierten Infostealer gefunden, der über die Option 2 ausgeliefert wurde, und wir verfolgen diese Malware als RN Stealer.
RN Stealer
Der RN Stealer generiert zunächst eine zufällige Opfer-ID, die anschließend als Cookie für die gesamte Kommunikation mit dem C2-Server verwendet wird. Er fordert dann einen XOR-Schlüssel vom Server an, um die exfiltrierten Daten zu verschlüsseln.
Die Kommunikation mit dem C2-Server erfolgt über HTTPS, wobei Base64-kodierte Token verwendet werden, um Anfrage- und Antworttypen zu identifizieren. Die analysierte payload umfasst vier Token-Typen:
- R0 - Abfrage des XOR-Schlüssels
- R64 - Exfiltrieren von Daten
- R128 - Komprimierte Daten exfiltrieren
- R256 - Infostealer komplett
Das Format dieser Token-Typen - der Buchstabe R gefolgt von einer Ganzzahl N - führte zu unseren Namen für dieser Payload. Wir nennen die Payload RN Stealer und die vorangehende Stufe RN Loader.
Wir haben das Skript für dieses RN-Stealer-Beispiel von einem macOS-System wiederhergestellt. Die Autoren der Bedrohung haben dieses Beispiel so angepasst, dass sie Informationen stehlen, die speziell für macOS-Geräte bestimmt sind, darunter:
- Grundlegende Informationen zum Opfer: Benutzername, Rechnername und Architektur
- Installierte Anwendungen
- Eine Verzeichnisauflistung und der Inhalt der obersten Ebene des Home-Verzeichnisses des Opfers
- Die Datei login.keychain-db, die gespeicherte Zugangsdaten in macOS-Systemen speichert
- Gespeicherte SSH-Schlüssel
- Konfigurationsdateien für AWS, Kubernetes und Google Cloud
Die von RN Stealer gesammelten Daten bestimmen wahrscheinlich, ob ein dauerhafter Zugriff erforderlich ist. Wenn ja, können wir die folgenden Schritte für diese Python-Infektionskette ableiten:
- Der C2-Server prüft Beaconing-Opfer anhand unbekannter Kriterien. Gültige Opfer erhalten eine YAML-Payload zur Deserialisierung. Ungültige Opfer erhalten unauffällige JSON-Daten.
- Die Deserialisierungs-Payload baut eine Befehlsschleife mit dem C2-Server auf, wobei sie grundlegende Informationen über das Opfer ausspäht und über den Optionscode 2 in Tabelle 2 einen benutzerdefinierten Python-Infostealer ausliefert.
- Der Infostealer sammelt detailliertere Informationen über das Opfer, die die Angreifer wahrscheinlich nutzten, um festzustellen, ob sie weiterhin Zugang benötigen.
- Wenn ein kontinuierlicher Zugriff erforderlich ist, liefert der C2-Server eine payload über die Optionscodes 1 oder 3.
- Wenn der Zugriff nicht mehr benötigt wird, beendet der Optionscode 9 die Ausführung der Malware und entfernt alle Zugriffe, da sich die payload ausschließlich im Speicher befindet.
Stufe 3b - JavaScript Repository
Wenn die anvisierten Opfer sich für eine JavaScript-Rolle beworben haben, könnten sie stattdessen auf ein "Cryptocurrency Dashboard"-Projekt stoßen, ähnlich dem Beispiel in Abbildung 6 unten.
Diese Anwendung enthält eine .env-Datei mit C2 und der legitimen Datenquelle:
- PORT=3000
- COINGECKO_API_URL=hxxps://api.coingecko[.]com/api/v3
- JQUERY_API_URL=hxxps://update.jquerycloud[.]io/api/v1
Der Wert COINGECKO_API_URL wird verwendet, um Daten für das Cryptocurrency Dashboard abzurufen, während der Wert JQUERY_API_URL einen von Slow Pisces kontrollierten C2-Server darstellt. Ähnlich wie das Python-Repository liefert der JavaScript-C2-Server Payload nur an überprüfte Ziele, ansonsten antwortet er mit einer Versionsnummer.
Das Repository verwendet das Embedded JavaScript (EJS) Template-Tool und übergibt Antworten vom C2-Server an die ejs.render()-Funktion, die unten in Abbildung 7 zu sehen ist.
Wie die Verwendung von yaml.load()ist dies eine weitere Technik, die Slow Pisces einsetzt, um die Ausführung von beliebigem Code von seinen C2-Servern zu verbergen, und diese Methode ist vielleicht nur offensichtlich, wenn man eine gültige Payload betrachtet.
Die EJS-Renderfunktion akzeptiert verschiedene Parameter, von denen einer view options heißt. Darin kann beliebiger JavaScript-Code bereitgestellt und über den Wert escapeFunction ausgeführt werden.
Ein taiwanesischer Forscher, der unter dem Namen Huli bekannt ist, hat in einem CTF-Beitrag die technischen Details erörtert, wie dies zur Ausführung von willkürlichem Code führt. Wir können jedoch hinreichend verstehen, dass eine wie in Abbildung 8 strukturierte Payload dazu führt, dass der in escapeFunction enthaltene Code ausgeführt wird, wenn er an ejs.render() übergeben wird.
Leider waren wir nicht in der Lage, den gesamten Teil dieser Payload wiederherzustellen . Wir können daher nur vermuten, dass ein neues Verzeichnis .jql unter dem Home-Verzeichnis des Benutzers erstellt wird, in dem eine Datei namens helper.js abgelegt wird, die Base64-kodierte Daten enthält.
Infrastruktur
Die Zeitleiste unten in Abbildung 9 zeigt die C2-Infrastruktur, die in dieser Kampagne von Februar 2024 bis Februar 2025 verwendet wurde, gruppiert nach dem Typ des verwendeten Repositorys (JavaScript oder Python).
Wie bereits erwähnt, können die Domains in der Infrastruktur dieser Kampagne das Format der daneben verwendeten legitimen Quellen imitieren und verwenden häufig Subdomains wie api oder cdn. Bis zum Zeitpunkt der Veröffentlichung dieses Artikels haben wir die mit dieser Kampagne verbundene Infrastruktur entdeckt.
Fazit
In diesem Bericht haben wir über die jüngste Kampagne von Slow Pisces berichtet, bei der sich Slow Pisces über LinkedIn als Personalvermittler ausgab, um Entwickler im Kryptowährungssektor mit bösartigen Coding-Herausforderungen anzusprechen. Wir waren zwar nicht in der Lage, die vollständige Angriffskette für JavaScript-Repositories wiederherzustellen, aber die Python-Version der Kampagne lieferte zwei neue Payloads, die wir RN Loader und RN Stealer genannt haben.
Die Nutzung von LinkedIn und GitHub auf diese Weise ist nicht einzigartig. Mehrere der DVRK nahestehende Gruppen haben ähnliche Taktiken angewandt, wie Alluring Pisces und Contagious Interview.
Diese Gruppen weisen keine operativen Überschneidungen auf. Es ist jedoch bemerkenswert, dass diese Kampagnen ähnliche Vektoren für die Erstinfektion verwenden.
Slow Pisces hebt sich von den Kampagnen seiner Mitstreiter im Bereich der operativen Sicherheit ab. Die Verteilung von Payload auf jeder Stufe ist streng bewacht und existiert nur im Speicher. Und die späteren Werkzeuge der Gruppe werden nur bei Bedarf bereitgestellt.
Die Gruppe nutzte insbesondere zwei Techniken, um die Funktionalität zu verbergen:
- YAML Deserialisierung
- EJS escapeFunction
Beide Techniken behindern die Analyse, Entdeckung und Jagd erheblich. Auch relativ neue oder unerfahrene Entwickler im Bereich der Kryptowährungen hätten Schwierigkeiten, diese Repositories als bösartig zu identifizieren.
Ausgehend von öffentlichen Berichten über Kryptowährungsüberfälle scheint diese Kampagne sehr erfolgreich zu sein und wird wahrscheinlich auch im Jahr 2025 fortgesetzt. In diesem Artikel wurden zwar zwei potenzielle Entdeckungsmöglichkeiten für YAML-Deserialisierung und EJS escapeFunction-Payloads hervorgehoben, doch die wirksamste Abhilfemaßnahme bleibt die strikte Trennung von Firmen- und Privatgeräten. Dies hilft, die Kompromittierung von Unternehmenssystemen durch gezielte Social-Engineering-Kampagnen zu verhindern.
Palo Alto Networks Schutz und Schadensbegrenzung
Kunden von Palo Alto Networks sind durch die folgenden Produkte besser vor den oben genannten Bedrohungen geschützt:
Wenn Sie glauben, dass Sie kompromittiert wurden oder ein dringendes Anliegen haben, wenden Sie sich an das Unit 42 Incident Response Team oder rufen Sie an:
- Nord-Amerika: Gebührenfrei: +1 (866) 486-4842 (866.4.UNIT42)
- UK: +44.20.3743.3660
- Europa und Naher Osten: +31.20.299.3130
- Asien: +65.6983.8730
- Japan: +81.50.1790.0200
- Australien: +61.2.4062.7950
- Indien: 00080005045107
Palo Alto Networks hat diese Erkenntnisse mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen bereitzustellen und böswillige Cyber-Akteure systematisch zu stören. Erfahren Sie mehr über die Cyber Threat Alliance.
Kompromissindikatoren
| Domain | IP Address | Erstmals gesehen | Zuletzt gesehen | Repository |
| getstockprice[.]com | 70.34.245[.]118 | 2025-02-03 | 2025-02-20 | Python |
| cdn[.]clubinfo[.]io | 5.206.227[.]51 | 2025-01-21 | 2025-02-19 | Python |
| getstockprice[.]info | 131.226.2[.]120 | 2025-01-21 | 2025-01-23 | Python |
| api[.]stockinfo[.]io | 136.244.93[.]248 | 2024-10-30 | 2024-11-11 | Python |
| cdn[.]logoeye[.]net | 54.39.83[.]151 | 2024-10-29 | 2024-11-03 | Python |
| en[.]wfinance[.]org | 195.133.26[.]32 | 2024-10-12 | 2024-11-01 | Python |
| en[.]stocksindex[.]org | 185.236.231[.]224 | 2024-09-11 | 2024-10-04 | Python |
| cdn[.]jqueryversion[.]net | 194.11.226[.]16 | 2024-08-23 | 2024-09-23 | JavaScript |
| en[.]stockslab[.]org | 91.103.140[.]191 | 2024-08-19 | 2024-09-12 | Python |
| update[.]jquerycloud[.]io | 192.236.199[.]57 | 2024-07-03 | 2024-08-22 | JavaScript |
| cdn[.]soccerlab[.]io | 146.70.124[.]70 | 2024-08-07 | 2024-08-21 | Python |
| api[.]coinpricehub[.]io | 45.141.58[.]40 | 2024-05-06 | 2024-08-06 | Java |
| cdn[.]leaguehub[.]net | 5.133.9[.]252 | 2024-07-15 | 2024-07-21 | Python |
| cdn[.]clublogos[.]io | 146.19.173[.]29 | 2024-06-24 | 2024-07-12 | Python |
| api[.]jquery-release[.]com | 146.70.125[.]120 | 2024-06-10 | 2024-06-28 | JavaScript |
| cdn[.]logosports[.]net | 185.62.58[.]74 | 2024-05-08 | 2024-06-23 | Python |
| skypredict[.]org | 80.82.77[.]80 | 2024-05-06 | 2024-06-16 | JavaScript |
| api[.]bitzone[.]io | 192.248.145[.]210 | 2024-04-25 | 2024-05-13 | Python |
| weatherdatahub[.]org | 194.15.112[.]200 | 2024-04-05 | 2024-05-03 | JavaScript |
| api[.]ethzone[.]io | 91.234.199[.]90 | 2024-04-16 | 2024-04-24 | Python |
| api[.]fivebit[.]io | 185.216.144[.]41 | 2024-04-08 | 2024-04-14 | Python |
| blockprices[.]io | 91.193.18[.]201 | 2024-03-15 | 2024-04-09 | JavaScript |
| api[.]coinhar[.]io | 185.62.58[.]122 | 2024-03-26 | 2024-04-09 | Python |
| mavenradar[.]com | 23.254.230[.]253 | 2024-02-21 | 2024-03-26 | JavaScript |
| indobit[.]io | 146.70.88[.]126 | 2024-03-19 | 2024-03-20 | Python |
| api[.]thaibit[.]io | 79.137.248[.]193 | 2024-03-07 | 2024-03-09 | Python |
| chainanalyser[.]com | 38.180.62[.]135 | 2024-02-23 | 2024-03-06 | JavaScript |
Zusätzliche Ressourcen
- Nordkorea verantwortlich für 1,5 Milliarden Dollar Bybit-Hack - Internet Crime Complaint Center (IC3)
- FBI, DC3 und NPA identifizieren nordkoreanische Cyber-Akteure, die als TraderTraitor verfolgt werden und für den Diebstahl von 308 Millionen USD von Bitcoin.DMM.com verantwortlich sind - FBI
- Sicherheitswarnung: Social-Engineering-Kampagne zielt auf Mitarbeiter der Technologiebranche - GitHub Blog
- Nordkorea nutzt SaaS-Anbieter für einen gezielten Angriff auf die Lieferkette - Mandiant, Google Cloud
Erhalten Sie Updates von Unit 42 