Междуверижните протоколи и Web3 фирмите продължават да бъдат насочени от хакерски групи, докато deBridge Finance разопакова неуспешна атака, която носи отличителните белези на хакерите Lazarus Group от Северна Корея.
Служителите на deBridge Finance получиха нещо, което изглеждаше като поредния обикновен имейл от съоснователя Алекс Смирнов в петък следобед. Прикачен файл с етикет „Нови корекции на заплатите“ трябваше да предизвика интерес с различни фирми за криптовалута съкращаване на служители и намаляване на заплатите по време на продължаващата зима на криптовалутите.
Няколко служители отбелязаха имейла и неговия прикачен файл като подозрителни, но един служител се хвана на стръвта и изтегли PDF файла. Това ще се окаже случайно, тъй като екипът на deBridge работи върху разопаковането на вектора на атаката, изпратен от фалшив имейл адрес, предназначен да отразява този на Смирнов.
Съоснователят се задълбочи в тънкостите на опита за фишинг атака в дълга нишка в Twitter, публикувана в петък, действаща като съобщение за обществена услуга за по-широката общност на криптовалутите и Web3:
1/ @deBridgeFinance е бил обект на опит за кибератака, очевидно от групата Lazarus.
PSA за всички екипи в Web3, тази кампания вероятно ще бъде широко разпространена. pic.twitter.com/P5bxY46O6m
— от Алекс (@AlexSmirnov__) Август 5, 2022
Екипът на Смирнов отбеляза, че атаката няма да зарази потребителите на macOS, тъй като опитите за отваряне на връзката на Mac водят до zip архив с нормалния PDF файл Adjustments.pdf. Въпреки това, базираните на Windows системи са изложени на риск, както Смирнов обясни:
„Векторът на атаката е следният: потребителят отваря връзка от имейл, изтегля и отваря архив, опитва се да отвори PDF, но PDF иска парола. Потребителят отваря password.txt.lnk и заразява цялата система.”
Текстовият файл нанася щетите, като изпълнява команда cmd.exe, която проверява системата за антивирусен софтуер. Ако системата не е защитена, злонамереният файл се записва в папката за автоматично стартиране и започва да комуникира с нападателя, за да получава инструкции.
Свързано: 'Никой не ги задържа" — севернокорейската заплаха от кибератака нараства
Екипът на deBridge позволи на скрипта да получава инструкции, но анулира възможността за изпълнение на каквито и да било команди. Това разкри, че кодът събира част от информацията за системата и я експортира към нападателите. При нормални обстоятелства хакерите биха могли да изпълняват код на заразената машина от този момент нататък.
Смирнов свързан назад към по-ранни изследвания на фишинг атаки, извършени от Lazarus Group, които използват същите имена на файлове:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – припокриваща се инфраструктура с @h2jaziтуит на , както и предишни кампании.
d73e832c84c45c3faa9495b39833adb2
Нови корекции на заплатите.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Юли 21, 2022
2022 г. видя а скок в хакове на кръстосани мостове както се подчертава от фирмата за анализ на блокчейн Chainalysis. Криптовалута на стойност над 2 милиарда долара е била изтръгната в 13 различни атаки тази година, което представлява близо 70% от откраднатите средства. Мостът Ронин на Axie Infinity е бил най-тежко засегнат досега, като загуби 612 милиона долара от хакери през март 2022 г.
Източник: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group