Межланцюгові протоколи та фірми Web3 продовжують бути мішенями хакерських груп, оскільки deBridge Finance розпаковує невдалу атаку, яка носить ознаки хакерів Lazarus Group із Північної Кореї.
Співробітники deBridge Finance отримали те, що виглядало як звичайний електронний лист від співзасновника Алекса Смирнова в п’ятницю вдень. Вкладення під назвою «Нові коригування зарплати» мало викликати інтерес у різних криптовалютних компаній. звільнення персоналу та скорочення заробітної плати під час поточної криптовалютної зими.
Кілька співробітників помітили електронний лист і його вкладення як підозрілі, але один співробітник нажився і завантажив PDF-файл. Це виявилося б випадковим, оскільки команда deBridge працювала над розпакуванням вектора атаки, надісланого з підробленої адреси електронної пошти, призначеної для відображення адреси Смирнова.
Співзасновник заглибився в тонкощі спроби фішингової атаки в довгій темі Twitter, опублікованій у п’ятницю, виступаючи в якості публічного оголошення для ширшої спільноти криптовалют і Web3:
1/ @deBridgeFinance став об’єктом спроби кібератаки, ймовірно, з боку групи Lazarus.
PSA для всіх команд у Web3, ця кампанія, ймовірно, буде широко поширеною. pic.twitter.com/P5bxY46O6m
— автор: Алекс (@AlexSmirnov__) Серпень 5, 2022
Команда Смирнова зазначила, що атака не заразить користувачів macOS, оскільки спроби відкрити посилання на Mac призводять до zip-архіву зі звичайним PDF-файлом Adjustments.pdf. Однак системи на базі Windows знаходяться під загрозою, як пояснив Смирнов:
«Вектор атаки такий: користувач відкриває посилання з електронної пошти, завантажує та відкриває архів, намагається відкрити PDF, але PDF запитує пароль. Користувач відкриває password.txt.lnk і заражає всю систему».
Текстовий файл завдає шкоди, виконуючи команду cmd.exe, яка перевіряє систему на наявність антивірусного програмного забезпечення. Якщо система не захищена, шкідливий файл зберігається в папці автозапуску та починає обмінюватися даними зі зловмисником для отримання інструкцій.
Пов'язано: 'Їх ніхто не стримує» — зростає загроза кібератаки Північної Кореї
Команда deBridge дозволила сценарію отримувати інструкції, але анулювала можливість виконання будь-яких команд. Це показало, що код збирає частину інформації про систему та експортує її зловмисникам. За звичайних обставин з цього моменту хакери зможуть запускати код на зараженій машині.
Смірнов пов'язаний назад до попередніх досліджень фішингових атак, здійснених Lazarus Group, які використовували ті самі імена файлів:
#НебезпечнийПароль (CryptoCore/CryptoMimic) #АПТ:
b52e3aaf1bd6e45d695db573abc886dc
Пароль.txt.lnkwww[.]googlesheet[.]info – перекриття інфраструктури з @h2jaziтвіт користувача, а також попередні кампанії.
d73e832c84c45c3faa9495b39833adb2
Нові коригування зарплати.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Липень 21, 2022
2022 рік побачив а сплеск у перехресних мостах як підкреслює компанія з аналізу блокчейну Chainalysis. Цього року під час 2 різних атак було викрадено криптовалюту на суму понад 13 мільярди доларів, що становить майже 70% викрадених коштів. Ронінський міст Axie Infinity був найбільше постраждалих, втративши 612 мільйонів доларів від хакерів у березні 2022 року.
Джерело: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group