Cross-chain protokoly a Web3 firmy sú naďalej terčom hackerských skupín, keďže deBridge Finance rozbalí neúspešný útok, ktorý nesie znaky hackerov zo severokórejskej Lazarus Group.
Zamestnanci deBridge Finance dostali v piatok popoludní niečo, čo vyzeralo ako ďalší obyčajný e-mail od spoluzakladateľa Alexa Smirnova. Príloha s názvom „Nové úpravy platov“ vzbudila záujem u rôznych kryptomenových firiem. zavádzanie prepúšťania zamestnancov a znižovania platov počas prebiehajúcej kryptomenovej zimy.
Hŕstka zamestnancov označila e-mail a jeho prílohu za podozrivé, ale jeden zamestnanec vzal návnadu a stiahol súbor PDF. To by sa ukázalo ako náhoda, pretože tím deBridge pracoval na rozbalení útočného vektora odoslaného z falošnej e-mailovej adresy navrhnutej tak, aby odrážala Smirnovovu.
Spoluzakladateľ sa ponoril do zložitosti pokusu o phishingový útok v dlhom vlákne na Twitteri uverejnenom v piatok, ktoré slúžilo ako verejné oznámenie pre širšiu komunitu kryptomien a Web3:
1/ @deBridgeFinance sa stal predmetom pokusu o kybernetický útok, zrejme zo strany skupiny Lazarus.
PSA pre všetky tímy vo Web3, táto kampaň je pravdepodobne rozšírená. pic.twitter.com/P5bxY46O6m
— od Alexa (@AlexSmirnov__) Augusta 5, 2022
Smirnovov tím poznamenal, že útok neinfikuje používateľov macOS, pretože pokusy o otvorenie odkazu na Macu vedú k archívu zip s normálnym súborom PDF Adjustments.pdf. Systémy založené na systéme Windows sú však ohrozené, ako vysvetlil Smirnov:
„Vektor útoku je nasledovný: používateľ otvorí odkaz z e-mailu, stiahne a otvorí archív, pokúsi sa otvoriť PDF, ale PDF vyžaduje heslo. Používateľ otvorí password.txt.lnk a infikuje celý systém.“
Textový súbor spôsobí škodu spustením príkazu cmd.exe, ktorý skontroluje, či systém neobsahuje antivírusový softvér. Ak systém nie je chránený, škodlivý súbor sa uloží do priečinka automatického spustenia a začne komunikovať s útočníkom, aby dostal pokyny.
Súvisiace: 'Nikto ich nezdržuje“ – hrozba severokórejského kybernetického útoku stúpa
Tím deBridge umožnil skriptu prijímať pokyny, ale zrušil možnosť vykonávať akékoľvek príkazy. To odhalilo, že kód zhromažďuje množstvo informácií o systéme a exportuje ich útočníkom. Za normálnych okolností by hackeri boli schopní spustiť kód na infikovanom počítači od tohto bodu.
Smirnov spojené späť k predchádzajúcemu výskumu phishingových útokov, ktorý uskutočnila skupina Lazarus, ktorá používala rovnaké názvy súborov:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – prekrývajúca sa infraštruktúra s @h2jazitweet používateľa, ako aj predchádzajúce kampane.
d73e832c84c45c3faa9495b39833adb2
Nové úpravy platov.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Júla 21, 2022
2022 zaznamenal a prudký nárast hackingov krížových mostov ako zdôraznila spoločnosť Chainalysis zaoberajúca sa analýzou blockchainu. Tento rok boli kryptomeny v hodnote viac ako 2 miliardy dolárov ukradnuté v 13 rôznych útokoch, čo predstavuje takmer 70 % ukradnutých finančných prostriedkov. Ronin most Axie Infinity bol doteraz najhoršieHackeri v marci 612 stratili 2022 miliónov dolárov.
Zdroj: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group