Protokoły cross-chain i firmy Web3 są nadal celem ataków grup hakerskich, ponieważ deBridge Finance ujawnia nieudany atak, który nosi znamiona hakerów z grupy Lazarus z Korei Północnej.
Pracownicy deBridge Finance otrzymali w piątek po południu coś, co wyglądało jak zwykły e-mail od współzałożyciela, Alexa Smirnova. Załącznik o nazwie „Nowe korekty wynagrodzeń” musiał wzbudzić zainteresowanie różnych firm kryptowalutowych wprowadzanie zwolnień i cięć płac podczas trwającej kryptowalutowej zimy.
Kilku pracowników oznaczyło wiadomość e-mail i jej załącznik jako podejrzaną, ale jeden z pracowników chwycił przynętę i pobrał plik PDF. Byłoby to przypadkowe, ponieważ zespół deBridge pracował nad rozpakowaniem wektora ataku wysłanego z fałszywego adresu e-mail zaprojektowanego tak, aby odzwierciedlał adres Smirnova.
Współzałożyciel zagłębił się w zawiłości próby ataku phishingowego w długim wątku na Twitterze opublikowanym w piątek, działając jako ogłoszenie usługi publicznej dla szerszej społeczności kryptowalut i Web3:
1/ @debridgefinance był przedmiotem próby cyberataku, podobno przez grupę Lazarus.
PSA dla wszystkich zespołów w Web3, ta kampania prawdopodobnie będzie szeroko rozpowszechniona. pic.twitter.com/P5bxY46O6m
— przezAlex (@AlexSmirnov__) 5 sierpnia 2022 r.
Zespół Smirnova zauważył, że atak nie zainfekowałby użytkowników systemu macOS, ponieważ próby otwarcia łącza na komputerze Mac prowadzą do archiwum zip z normalnym plikiem PDF Adjustments.pdf. Jednak systemy oparte na Windows są zagrożone, jak wyjaśnił Smirnov:
„Wektor ataku jest następujący: użytkownik otwiera link z wiadomości e-mail, pobiera i otwiera archiwum, próbuje otworzyć plik PDF, ale PDF prosi o hasło. Użytkownik otwiera password.txt.lnk i infekuje cały system.”
Plik tekstowy wyrządza szkodę, wykonując polecenie cmd.exe, które sprawdza system pod kątem oprogramowania antywirusowego. Jeśli system nie jest chroniony, złośliwy plik jest zapisywany w folderze autostartu i zaczyna komunikować się z atakującym w celu otrzymania instrukcji.
Związane z: 'Nikt ich nie powstrzymuje” — rośnie zagrożenie cyberatakami w Korei Północnej
Zespół deBridge zezwolił skryptowi na otrzymywanie instrukcji, ale unieważnił możliwość wykonywania jakichkolwiek poleceń. Ujawniło to, że kod zbiera szereg informacji o systemie i eksportuje je do atakujących. W normalnych okolicznościach hakerzy byliby w stanie uruchomić kod na zainfekowanej maszynie od tego momentu.
Smirnow powiązany powrót do wcześniejszych badań nad atakami phishingowymi przeprowadzonych przez Grupę Lazarus, która wykorzystywała te same nazwy plików:
#Niebezpieczne hasło (CryptoCore/CryptoMimic) #TRAFNY:
b52e3aaf1bd6e45d695db573abc886dc
Hasło.txt.lnkwww[.]googlesheet[.]info – nakładająca się infrastruktura z @h2jaziatweeta, a także wcześniejsze kampanie.
d73e832c84c45c3faa9495b39833adb2
Nowe korekty wynagrodzeń.pdf https://t.co/kDyGXvnFaz— Królowa Banshee Strahdslayer (@cyberoverdrive) 21 lipca 2022 r.
2022 widział wzrost liczby hacków krzyżowych jak podkreśliła firma Chainalysis zajmująca się analizą łańcucha bloków. W tym roku w 2 różnych atakach skradziono kryptowalutę o wartości ponad 13 miliardów dolarów, co stanowi prawie 70% skradzionych środków. Most Ronin Axie Infinity był najgorszy jak dotąd hit, tracąc 612 milionów dolarów na rzecz hakerów w marcu 2022 r.
Źródło: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group