24 июля 2025 года криптоплатформа WOO X подверглась сложной целевой атаке, в результате которой из 9 пользовательских аккаунтов было выведено $14 млн. За операцией, по всем признакам, стоит северокорейская хакерская группировка UNC4899 (Lazarus Group, TraderTraitor или Jade Sleet), работающая под крылом разведуправления КНДР. Компания выпустила обзор случая, пишет Securitylab.
Атака началась с тщательно спланированной социальной инженерии, направленной против одного из разработчиков WOO. Злоумышленники представились участниками open-source сообщества и предложили помощь в отладке инструмента разработки. После непродолжительного общения на тематическом форуме разработчик загрузил присланный файл на мобильное устройство, а затем открыл его на выданном компанией MacBook.
Несмотря на антивирусную проверку, файл оказался заражён скрытым бэкдором, замаскированным под системный процесс. Именно он обеспечил устойчивый доступ к среде разработки компании и позволил злоумышленникам провести разведку, получить административные токены и изменить данные 9 ценных аккаунтов: адреса электронной почты, хэши паролей и 2FA-секреты. Через несколько недель после заражения были инициированы выводы средств в различных сетях: Bitcoin, Ethereum, BNB и Arbitrum.
Неавторизованные транзакции были замечены спустя 2 часа и немедленно остановлены. Все пострадавшие пользователи получили полную компенсацию из казначейства WOO. Сам вывод происходил с использованием действующей VPN-сессии, защищённой двухфакторной аутентификацией — атака не обошла защиту, а встроилась в легитимный контекст. Эксплуатировались GCP-инфраструктура, Kubernetes (в частности GKE), Argo CD и Apollo. В один из микросервисов был внедрён подложный POD с бэкдором, обеспечившим скрытый и устойчивый канал до самого инцидента.
Хронология событий показала, что первый контакт с разработчиком произошёл ещё 28 июня, а активные действия по эскалации привилегий начались с 10 июля. Вывод средств стартовал 24 июля. Выводы были немедленно заморожены по всей платформе, пользовательские данные восстановлены, а сам инцидент локализован.
В ходе трёхнедельного расследования был проведён полный аудит инфраструктуры и реализованы масштабные меры безопасности. Среди них — изоляция и полная миграция всех окружений, внедрение XDR-решений в контейнерных средах для детектирования атак в Kubernetes, активация Google Security Command Center, сокращение срока жизни GCP-сессий до 8 часов, обновлённые политики IAM и фильтрация всех сервисных аккаунтов. Все активы были перемещены на новую инфраструктуру с нуля, с жёсткой сегментацией и принципами нулевого доверия (Zero Trust).
Теперь все сторонние коды проходят обязательную автоматическую проверку безопасности, разработка полностью изолирована от продакшена, а сотрудники обучены распознавать методы социальной инженерии. В системе внедрена поведенческая аналитика, отслеживающая аномалии при доступе и выводе средств с использованием ML-моделей. Также улучшен SIEM и реализован постоянный threat hunting.
WOO также предупредила о новой волне фишинга : атакующие выдают себя за поддержку WOO и обманывают пользователей, обеспокоенных задержками с выводом. Администрация призывает проверять подлинность всех доменов и e-mail.