Slow Pisces - это северокорейская киберпреступная группа, спонсируемая государством КНДР. Они в основном занимаются кражей криптовалюты, нападая на крупные организации в криптовалютном секторе.
Описание
Их последняя кампания включает взаимодействие с криптовалютными разработчиками в LinkedIn, где они выдают себя за потенциальных работодателей и отправляют вредоносное ПО в виде задач по кодированию.
Slow Pisces использовали различные методы для кражи криптовалюты, включая создание поддельных торговых приложений, распространение вредоносного ПО через Node Package Manager (NPM) и компрометацию цепочки поставок. В результате их деятельности, группа похитила более 1 миллиарда долларов в 2023 году и 308 миллионов долларов в декабре 2024 года. Они также имеют подозрения в краже 1,5 миллиарда долларов с криптовалютной биржи в Дубае.
Slow Pisces скрывают вредоносное ПО в своих задачах по кодированию, а также как они используют инструменты, чтобы лучше понять угрозу, которую они представляют. Они представили свои данные об угрозах аналитикам GitHub и LinkedIn, чтобы те могли удалить соответствующие аккаунты и репозитории.
GitHub и LinkedIn подтвердили удаление вредоносных аккаунтов, и объявили, что они продолжают улучшать свои процессы, чтобы бороться с недобросовестными участниками и обеспечивать соблюдение условий обслуживания.
Slow Pisces использует PDF-приманки и репозитории GitHub для своих атак. Они начинают с отправки доброкачественных PDF-файлов с описанием вакансий, а затем предлагают целям задачи по кодированию, которые включают ссылки на репозитории GitHub с вредоносным кодом.
Slow Pisces использует различные проекты на Python и JavaScript в своих репозиториях, чтобы притвориться работодателем и скрыть свои злонамеренные намерения.
Indicators of Compromise
IPv4
- 131.226.2.120
- 136.244.93.248
- 146.19.173.29
- 146.70.124.70
- 146.70.125.120
- 146.70.88.126
- 185.216.144.41
- 185.236.231.224
- 185.62.58.122
- 185.62.58.74
- 192.236.199.57
- 192.248.145.210
- 194.11.226.16
- 194.15.112.200
- 195.133.26.32
- 23.254.230.253
- 38.180.62.135
- 45.141.58.40
- 5.133.9.252
- 5.206.227.51
- 54.39.83.151
- 70.34.245.118
- 79.137.248.193
- 80.82.77.80
- 91.103.140.191
- 91.193.18.201
- 91.234.199.90
Domains
- api.bitzone.io
- api.coinhar.io
- api.coinpricehub.io
- api.ethzone.io
- api.fivebit.io
- api.jquery-release.com
- api.stockinfo.io
- api.thaibit.io
- blockprices.io
- cdn.clubinfo.io
- cdn.clublogos.io
- cdn.jqueryversion.net
- cdn.leaguehub.net
- cdn.logoeye.net
- cdn.logosports.net
- cdn.soccerlab.io
- chainanalyser.com
- en.stocksindex.org
- en.stockslab.org
- en.wfinance.org
- getstockprice.com
- getstockprice.info
- indobit.io
- mavenradar.com
- skypredict.org
- update.jquerycloud.io
- weatherdatahub.org
