Ketjujen väliset protokollat ja Web3-yritykset ovat edelleen hakkerointiryhmien kohteena, kun deBridge Finance purkaa epäonnistuneen hyökkäyksen, jolla on Pohjois-Korean Lazarus Groupin hakkereiden tunnusmerkit.
deBridge Financen työntekijät saivat eräänlaisen tavallisen sähköpostin perustajajäsen Alex Smirnovilta perjantai-iltapäivänä. Liite nimeltä "Uudet palkanmuutokset" herätti varmasti kiinnostusta useiden kryptovaluuttayhtiöiden kanssa henkilöstön lomautuksia ja palkanleikkauksia meneillään olevan kryptovaluuttatalven aikana.
Kourallinen työntekijöitä ilmoitti sähköpostin ja sen liitteen epäilyttäväksi, mutta yksi työntekijä otti syötin ja latasi PDF-tiedoston. Tämä osoittautuisi sattumalta, sillä deBridge-tiimi työskenteli purkamaan hyökkäysvektoria, joka lähetettiin huijaussähköpostiosoitteesta, joka oli suunniteltu peilaamaan Smirnovin osoitetta.
Toinen perustajista syventyi tietojenkalasteluhyökkäysyrityksen monimutkaisuuteen perjantaina julkaistussa pitkässä Twitter-säikeessä, joka toimi julkisena palveluilmoituksena laajemmalle kryptovaluutta- ja Web3-yhteisölle:
1/ @deBridgeFinance on joutunut kyberhyökkäyksen kohteeksi ilmeisesti Lazarus-ryhmän toimesta.
PSA kaikille Web3:n tiimeille, tämä kampanja on todennäköisesti laajalle levinnyt. pic.twitter.com/P5bxY46O6m
- Alexilta (@AlexSmirnov__) Elokuu 5, 2022
Smirnovin tiimi totesi, että hyökkäys ei tartuttaisi macOS-käyttäjiä, koska yritykset avata linkki Macissa johtavat zip-arkistoon, jossa on normaali PDF-tiedosto Adjustments.pdf. Windows-pohjaiset järjestelmät ovat kuitenkin vaarassa, kuten Smirnov selitti:
”Hyökkäysvektori on seuraava: käyttäjä avaa linkin sähköpostista, lataa & avaa arkiston, yrittää avata PDF:n, mutta PDF pyytää salasanaa. Käyttäjä avaa password.txt.lnk ja saastuttaa koko järjestelmän."
Tekstitiedosto tekee vahingon suorittamalla cmd.exe-komennon, joka tarkistaa, onko järjestelmässä virustorjuntaohjelmisto. Jos järjestelmää ei ole suojattu, haitallinen tiedosto tallennetaan automaattisen käynnistyksen kansioon ja alkaa kommunikoida hyökkääjän kanssa saadakseen ohjeita.
Liittyy: 'Kukaan ei pidättele heitä” – Pohjois-Korean kyberhyökkäysuhka kasvaa
DeBridge-tiimi antoi komentosarjan vastaanottaa ohjeita, mutta mitätöi kyvyn suorittaa komentoja. Tämä paljasti, että koodi kerää joukon tietoja järjestelmästä ja vie ne hyökkääjille. Normaaleissa olosuhteissa hakkerit voisivat suorittaa koodia tartunnan saaneella koneella tästä pisteestä eteenpäin.
Smirnov liittyvät takaisin aiempaan tutkimukseen, joka koski samoja tiedostonimiä käyttäneen Lazarus Groupin suorittamia tietojenkalasteluhyökkäyksiä:
#Vaarallinen salasana (CryptoCore/CryptoMimic) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – päällekkäinen infrastruktuuri @h2jazin twiitissä sekä aiemmissa kampanjoissa.
d73e832c84c45c3faa9495b39833adb2
Uudet palkkamuutokset.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Heinäkuu 21, 2022
2022 on nähnyt a siltojen ylittävien murtumien nousu kuten lohkoketjuanalyysiyritys Chainalysis korosti. Yli 2 miljardin dollarin arvosta kryptovaluuttaa on käytetty tänä vuonna 13 eri hyökkäyksessä, mikä vastaa lähes 70 % varastetuista varoista. Axie Infinityn Ronin-silta on ollut pahin osuma tähän mennessä, menetti 612 miljoonaa dollaria hakkereille maaliskuussa 2022.
Lähde: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group