Cross-chain protokoly a Web3 firmy jsou i nadále terčem hackerských skupin, protože deBridge Finance rozbaluje neúspěšný útok, který nese znaky hackerů ze severokorejské Lazarus Group.
Zaměstnanci společnosti deBridge Finance obdrželi v pátek odpoledne něco, co vypadalo jako další obyčejný e-mail od spoluzakladatele Alexe Smirnova. Příloha označená jako „Nové úpravy platů“ vzbudila zájem u různých kryptoměnových firem. zavedení propouštění zaměstnanců a snižování platů během probíhající kryptoměnové zimy.
Hrstka zaměstnanců označila e-mail a jeho přílohu za podezřelé, ale jeden zaměstnanec vzal návnadu a stáhl soubor PDF. To by se ukázalo jako náhoda, protože tým deBridge pracoval na rozbalení útočného vektoru odeslaného z falešné e-mailové adresy navržené tak, aby zrcadlila Smirnovovu.
Spoluzakladatel se ponořil do složitosti pokusu o phishingový útok v dlouhém vláknu Twitteru zveřejněném v pátek, které fungovalo jako veřejné oznámení pro širší komunitu kryptoměn a Web3:
1/ @deBridgeFinance byl předmětem pokusu o kybernetický útok, zřejmě ze strany skupiny Lazarus.
PSA pro všechny týmy ve Web3, tato kampaň bude pravděpodobně rozšířená. pic.twitter.com/P5bxY46O6m
— od Alex (@AlexSmirnov__) Srpna 5, 2022
Smirnovův tým poznamenal, že útok neinfikuje uživatele macOS, protože pokusy o otevření odkazu na Macu vedou k archivu zip s normálním souborem PDF Adjustments.pdf. Systémy založené na Windows jsou však ohroženy, jak vysvětlil Smirnov:
„Vektor útoku je následující: uživatel otevře odkaz z e-mailu, stáhne a otevře archiv, pokusí se otevřít PDF, ale PDF požaduje heslo. Uživatel otevře password.txt.lnk a infikuje celý systém.“
Textový soubor způsobí škodu a spustí příkaz cmd.exe, který zkontroluje, zda v systému není antivirový software. Pokud systém není chráněn, škodlivý soubor se uloží do složky automatického spuštění a začne komunikovat s útočníkem, aby obdržel pokyny.
Příbuzný: 'Nikdo je nezdržuje“ – hrozba severokorejského kybernetického útoku stoupá
Tým deBridge umožnil skriptu přijímat instrukce, ale zrušil schopnost provádět jakékoli příkazy. To odhalilo, že kód shromažďuje řadu informací o systému a exportuje je útočníkům. Za normálních okolností by hackeři byli schopni spustit kód na infikovaném počítači od tohoto okamžiku.
Smirnov spojené zpět k dřívějšímu výzkumu phishingových útoků prováděných skupinou Lazarus Group, která používala stejné názvy souborů:
#NebezpečnéHeslo (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – překrývající se infrastruktura s @h2jazitweet uživatele stejně jako dřívější kampaně.
d73e832c84c45c3faa9495b39833adb2
Nové úpravy mezd.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Července 21, 2022
2022 viděl a nárůst hacků napříč mosty jak zdůraznila společnost Chainalysis zabývající se analýzou blockchainu. Kryptoměna v hodnotě přes 2 miliardy dolarů byla letos ukradena při 13 různých útocích, což představuje téměř 70 % ukradených finančních prostředků. Roninův most Axie Infinity byl zatím nejhorší zásah, v březnu 612 přišla hackerům o 2022 milionů dolarů.
Zdroj: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group