Cross-chain protokoli i Web3 tvrtke i dalje su na meti hakerskih skupina, dok deBridge Finance otkriva neuspjeli napad koji nosi obilježja sjevernokorejskih hakera Lazarus Group.
Zaposlenici deBridge Finance primili su nešto što je izgledalo kao još jedan obični e-mail od suosnivača Alexa Smirnova u petak poslijepodne. Prilog s oznakom "Nove prilagodbe plaće" sigurno je izazvao zanimanje s raznim tvrtkama za kriptovalute pokretanje otpuštanja osoblja i smanjenja plaća tijekom tekuće zime kriptovaluta.
Nekolicina zaposlenika označila je e-poštu i njen privitak kao sumnjive, ali je jedan član osoblja zagrizao mamac i preuzeo PDF datoteku. To bi se pokazalo slučajnim, budući da je tim deBridgea radio na raspakiravanju vektora napada koji je poslan s lažne adrese e-pošte dizajnirane da odražava Smirnovljevu.
Suosnivač je zaronio u zamršenost pokušaja phishing napada u dugačkoj niti na Twitteru objavljenoj u petak, djelujući kao javna objava za širu zajednicu kriptovaluta i Web3:
1/ @deBridgeFinance je bio predmet pokušaja kibernetičkog napada, očito od strane grupe Lazarus.
PSA za sve timove u Web3, ova kampanja će vjerojatno biti široko rasprostranjena. pic.twitter.com/P5bxY46O6m
— napisao Alex (@AlexSmirnov__) Kolovoz 5, 2022
Smirnovljev tim primijetio je da napad neće zaraziti korisnike macOS-a, jer pokušaji otvaranja poveznice na Macu vode do zip arhive s normalnom PDF datotekom Adjustments.pdf. Međutim, sustavi temeljeni na Windowsima su u opasnosti kao što je objasnio Smirnov:
“Vektor napada je sljedeći: korisnik otvara link iz e-pošte, preuzima i otvara arhivu, pokušava otvoriti PDF, ali PDF traži lozinku. Korisnik otvori password.txt.lnk i zarazi cijeli sustav.”
Tekstualna datoteka čini štetu, izvršavajući naredbu cmd.exe koja provjerava antivirusni softver u sustavu. Ako sustav nije zaštićen, zlonamjerna datoteka sprema se u mapu za automatsko pokretanje i počinje komunicirati s napadačem radi primanja uputa.
Povezano: 'Nitko ih ne zadržava' — raste opasnost od kibernetičkog napada Sjeverne Koreje
Tim deBridgea dopustio je skripti da prima upute, ali je poništio mogućnost izvršavanja bilo koje naredbe. Ovo je otkrilo da kod prikuplja niz informacija o sustavu i izvozi ih napadačima. U normalnim okolnostima, hakeri bi od ove točke nadalje mogli pokrenuti kod na zaraženom računalu.
Smirnov povezan nazad na ranija istraživanja phishing napada koje je provela Lazarus Group koja je koristila iste nazive datoteka:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Lozinka.txt.lnkwww[.]googlesheet[.]info – preklapajuća infrastruktura s @h2jazitweet korisnika kao i ranije kampanje.
d73e832c84c45c3faa9495b39833adb2
Nove korekcije plaća.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Srpanj 21, 2022
2022. je doživio a surge in cross-bridge hacks kako je istaknula tvrtka za analizu blockchaina Chainalysis. Više od 2 milijarde dolara vrijedne kriptovalute opljačkano je u 13 različitih napada ove godine, što čini gotovo 70% ukradenih sredstava. Ronin most Axie Infinity je bio najgore pogođen do sada, izgubivši 612 milijuna dolara zbog hakera u ožujku 2022.
Izvor: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group