Lazarus Group는 사회 공학 공격을 통해 CoinsPaid에서 3700만 달러를 훔쳤습니다

ChainCatcher 메시지에 따르면, 해커 조직 Lazarus Group이 6개월간의 사회 공학 공격을 통해 에스토니아에 본사를 둔 암호화 결제 제공업체 CoinsPaid에서 3700만 달러를 훔쳤습니다. CoinsPaid는 올해 3월, CoinsPaid의 엔지니어가 이른바 "우크라이나 암호화 처리 스타트업"에서 온 기술 인프라 문제 목록을 받았다고 밝혔습니다. 6월과 7월 사이, 엔지니어들은 가짜 취업 제안을 받았습니다.

CoinsPaid는 보고서에서 7월 22일, 한 직원이 고소득 일자리에 면접을 보고 있다고 생각하여 악성 소프트웨어를 다운로드했다고 전했습니다. 이는 이른바 기술 테스트의 일환으로 이루어진 것입니다. 해커 조직은 CoinsPaid에 대한 모든 가능한 세부 사항, 팀 구성원 및 회사 구조 등을 이해하는 데 6개월을 소비했습니다. 해당 직원이 악성 코드를 다운로드했을 때, 해커는 CoinsPaid의 시스템에 접근할 수 있었고, 소프트웨어 취약점을 이용해 성공적으로 승인 요청을 위조하여 CoinsPaid의 핫 월렛에서 자금을 인출했습니다.