„Lazarus Group“, прочут хакерски синдикат, подкрепян от Северна Корея, е идентифициран като виновник за опит за кибератака срещу deBridge Finance. Съоснователят на междуверижния протокол и ръководителят на проекта, Алекс Смирнов, твърди, че векторът на атаката е бил чрез имейл, в който няколко членове на екипа са получили PDF файл с име „Нови корекции на заплатите“ от фалшив адрес, който отразява собствения на изпълнителя.
Въпреки че deBridge Finance успя да осуети фишинг атаката, Смирнов предупреди, че измамната кампания вероятно е широко разпространена, насочена към платформи, фокусирани върху Web3.
Опит за атака на deBridge
Според дълъг Twitter конец от изпълнителния директор повечето членове на екипа незабавно отбелязаха подозрителния имейл, но един изтегли и отвори файла. Това им помогна да проучат вектора на атаката и да разберат последствията от нея.
Смирнов допълнително обясни, че потребителите на macOS са в безопасност, тъй като отварянето на връзката на Mac ще доведе до zip архив с нормалния PDF файл Adjustments.pdf. От друга страна, Windows системите не са имунизирани срещу опасностите. Вместо това потребителите на Windows ще бъдат насочени към архив със съмнителен защитен с парола pdf със същото име и допълнителен файл с име Password.txt.lnk.
Текстовият файл по същество би заразил системата. Като такъв, липсата на антивирусен софтуер ще помогне на злонамерения файл да проникне в машината и ще бъде записан в папката за автоматично стартиране, след което прост скрипт ще започне да изпраща повтарящи се заявки за комуникация с нападателя, за да получи инструкции.
„Векторът на атаката е следният: потребителят отваря връзка от имейл -> изтегля и отваря архив -> опитва да отвори PDF, но PDF иска парола -> потребителят отваря password.txt.lnk и заразява цялата система.“
След това съоснователят призова фирмите и техните служители никога да не отварят прикачени файлове към имейли, без да проверят пълния имейл адрес на изпращача и да имат вътрешен протокол за това как екипите споделят прикачени файлове.
„Моля, останете SAFU и споделете тази тема, за да уведомите всички за потенциални атаки.“
Нападателите на Lazarus, насочени към крипто
Спонсорираните от държавата севернокорейски хакерски групи са известни с извършването на финансово мотивирани атаки. Lazarus, например, извърши много известни атаки срещу крипто борси, NFT пазари и отделни инвеститори със значителни притежания. Последната атака изглежда има значителна прилика с предишните, извършени от хакерския синдикат.
На фона на избухването на COVID-19, киберпрестъпления, водени от Lazarus видях масивен възходящ тренд. Съвсем наскоро групата открадна над 620 милиона долара от моста Ронин на Axie Infinity по-рано тази година.
Всъщност докладите също разкрие че киберпрограмата на страната е голяма и добре организирана, въпреки че е икономически изолирана от останалия свят. Според множество източници от правителството на САЩ, тези субекти също са се адаптирали към Web3 и в момента са насочени към децентрализираното финансово пространство.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/notorious-lazarus-group-attempted-cyber-attack-alleges-debridge-co-founder/