- 20,231
- 46
- 8 Ноя 2022
WOO X успешно прошла стандартный для криптобирж ритуал.
24 июля 2025 года криптоплатформа WOO X подверглась сложной целевой атаке, в результате которой из 9 пользовательских аккаунтов было выведено $14 млн. За операцией, по всем признакам, стоит северокорейская хакерская группировка UNC4899 (Lazarus Group, TraderTraitor или Jade Sleet), работающая под крылом разведуправления КНДР. Компания выпустила обзор инцидента.
Атака началась с тщательно спланированной социальной инженерии , направленной против одного из разработчиков WOO. Злоумышленники представились участниками open-source сообщества и предложили помощь в отладке инструмента разработки. После непродолжительного общения на тематическом форуме разработчик загрузил присланный файл на мобильное устройство, а затем открыл его на выданном компанией MacBook.
Несмотря на антивирусную проверку, файл оказался заражён скрытым бэкдором, замаскированным под системный процесс. Именно он обеспечил устойчивый доступ к среде разработки компании и позволил злоумышленникам провести разведку, получить административные токены и изменить данные 9 ценных аккаунтов: адреса электронной почты, хэши паролей и 2FA-секреты. Через несколько недель после заражения были инициированы выводы средств в различных сетях: Bitcoin, Ethereum, BNB и Arbitrum.
Неавторизованные транзакции были замечены спустя 2 часа и немедленно остановлены. Все пострадавшие пользователи получили полную компенсацию из казначейства WOO. Сам вывод происходил с использованием действующей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-сессии, защищённой двухфакторной аутентификацией — атака не обошла защиту, а встроилась в легитимный контекст. Эксплуатировались GCP-инфраструктура, Kubernetes (в частности GKE), Argo CD и Apollo. В один из микросервисов был внедрён подложный POD с бэкдором, обеспечившим скрытый и устойчивый канал до самого инцидента.
Хронология событий показала, что первый контакт с разработчиком произошёл ещё 28 июня, а активные действия по эскалации привилегий начались с 10 июля. Вывод средств стартовал 24 июля. Выводы были немедленно заморожены по всей платформе, пользовательские данные восстановлены, а сам инцидент локализован.
В ходе трёхнедельного расследования был проведён полный аудит инфраструктуры и реализованы масштабные меры безопасности. Среди них — изоляция и полная миграция всех окружений, внедрение XDR-решений в контейнерных средах для детектирования атак в Kubernetes, активация Google Security Command Center, сокращение срока жизни GCP-сессий до 8 часов, обновлённые политики IAM и фильтрация всех сервисных аккаунтов. Все активы были перемещены на новую инфраструктуру с нуля, с жёсткой сегментацией и принципами нулевого доверия (Zero Trust).
Теперь все сторонние коды проходят обязательную автоматическую проверку безопасности, разработка полностью изолирована от продакшена, а сотрудники обучены распознавать методы социальной инженерии. В системе внедрена поведенческая аналитика, отслеживающая аномалии при доступе и выводе средств с использованием ML-моделей. Также улучшен SIEM и реализован постоянный threat hunting.
WOO также предупредила о новой волне фишинга : атакующие выдают себя за поддержку WOO и обманывают пользователей, обеспокоенных задержками с выводом. Администрация призывает проверять подлинность всех доменов и e-mail.
Инцидент с Lazarus Group — лишь один из звеньев в цепочке атак 2025 года: за первые полгода Web3 потерял $3,1 млрд в результате эксплойтов, что уже превышает весь объём убытков за 2024 год. Вспомнить хотя бы февральский взлом Bybit на $1,5 млрд или апрельский инцидент с CoinDCX на $50 млн. Всё чаще мишенью становятся не технологии, а люди — разработчики, инженеры, админы.
Несмотря на инцидент, платформа осталась полностью операционной, а резервы компании не пострадали. В WOO подчёркивают, что считают защиту пользователей приоритетом и будут продолжать усиливать безопасность на всех уровнях. «Мы выстояли благодаря партнёрам, специалистам и сообществу, и именно с ними станем сильнее», — заявили в компании.
24 июля 2025 года криптоплатформа WOO X подверглась сложной целевой атаке, в результате которой из 9 пользовательских аккаунтов было выведено $14 млн. За операцией, по всем признакам, стоит северокорейская хакерская группировка UNC4899 (Lazarus Group, TraderTraitor или Jade Sleet), работающая под крылом разведуправления КНДР. Компания выпустила обзор инцидента.
Атака началась с тщательно спланированной социальной инженерии , направленной против одного из разработчиков WOO. Злоумышленники представились участниками open-source сообщества и предложили помощь в отладке инструмента разработки. После непродолжительного общения на тематическом форуме разработчик загрузил присланный файл на мобильное устройство, а затем открыл его на выданном компанией MacBook.
Несмотря на антивирусную проверку, файл оказался заражён скрытым бэкдором, замаскированным под системный процесс. Именно он обеспечил устойчивый доступ к среде разработки компании и позволил злоумышленникам провести разведку, получить административные токены и изменить данные 9 ценных аккаунтов: адреса электронной почты, хэши паролей и 2FA-секреты. Через несколько недель после заражения были инициированы выводы средств в различных сетях: Bitcoin, Ethereum, BNB и Arbitrum.
Неавторизованные транзакции были замечены спустя 2 часа и немедленно остановлены. Все пострадавшие пользователи получили полную компенсацию из казначейства WOO. Сам вывод происходил с использованием действующей <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-сессии, защищённой двухфакторной аутентификацией — атака не обошла защиту, а встроилась в легитимный контекст. Эксплуатировались GCP-инфраструктура, Kubernetes (в частности GKE), Argo CD и Apollo. В один из микросервисов был внедрён подложный POD с бэкдором, обеспечившим скрытый и устойчивый канал до самого инцидента.
Хронология событий показала, что первый контакт с разработчиком произошёл ещё 28 июня, а активные действия по эскалации привилегий начались с 10 июля. Вывод средств стартовал 24 июля. Выводы были немедленно заморожены по всей платформе, пользовательские данные восстановлены, а сам инцидент локализован.
В ходе трёхнедельного расследования был проведён полный аудит инфраструктуры и реализованы масштабные меры безопасности. Среди них — изоляция и полная миграция всех окружений, внедрение XDR-решений в контейнерных средах для детектирования атак в Kubernetes, активация Google Security Command Center, сокращение срока жизни GCP-сессий до 8 часов, обновлённые политики IAM и фильтрация всех сервисных аккаунтов. Все активы были перемещены на новую инфраструктуру с нуля, с жёсткой сегментацией и принципами нулевого доверия (Zero Trust).
Теперь все сторонние коды проходят обязательную автоматическую проверку безопасности, разработка полностью изолирована от продакшена, а сотрудники обучены распознавать методы социальной инженерии. В системе внедрена поведенческая аналитика, отслеживающая аномалии при доступе и выводе средств с использованием ML-моделей. Также улучшен SIEM и реализован постоянный threat hunting.
WOO также предупредила о новой волне фишинга : атакующие выдают себя за поддержку WOO и обманывают пользователей, обеспокоенных задержками с выводом. Администрация призывает проверять подлинность всех доменов и e-mail.
Инцидент с Lazarus Group — лишь один из звеньев в цепочке атак 2025 года: за первые полгода Web3 потерял $3,1 млрд в результате эксплойтов, что уже превышает весь объём убытков за 2024 год. Вспомнить хотя бы февральский взлом Bybit на $1,5 млрд или апрельский инцидент с CoinDCX на $50 млн. Всё чаще мишенью становятся не технологии, а люди — разработчики, инженеры, админы.
Несмотря на инцидент, платформа осталась полностью операционной, а резервы компании не пострадали. В WOO подчёркивают, что считают защиту пользователей приоритетом и будут продолжать усиливать безопасность на всех уровнях. «Мы выстояли благодаря партнёрам, специалистам и сообществу, и именно с ними станем сильнее», — заявили в компании.
- Источник новости
- www.securitylab.ru
