Крос-ланцуговыя пратаколы і фірмы Web3 па-ранейшаму становяцца мішэнню хакерскіх груп, у той час як deBridge Finance раскрывае няўдалую атаку, якая мае прыкметы паўночнакарэйскіх хакераў Lazarus Group.
Супрацоўнікі deBridge Finance атрымалі нешта падобнае на звычайны электронны ліст ад сузаснавальніка Алекса Смірнова ў пятніцу днём. Укладанне з надпісам «Новыя карэкціроўкі заработнай платы» павінна было выклікаць цікавасць з рознымі фірмамі, якія займаюцца криптовалютой. звальненне персаналу і скарачэнне заработнай платы падчас бягучай крыптавалютнай зімы.
Некалькі супрацоўнікаў пазначылі электронную пошту і яе ўкладанне як падазроныя, але адзін з супрацоўнікаў клюнуў на вуду і загрузіў PDF-файл. Гэта аказалася б выпадковасцю, бо каманда deBridge працавала над распакаваннем вектара атакі, адпраўленага з падробленага адраса электроннай пошты, прызначанага для адлюстравання адраса Смірнова.
Сузаснавальнік паглыбіўся ў тонкасці спробы фішынгавай атакі ў доўгай тэме Twitter, апублікаванай у пятніцу, якая выступае ў якасці публічнага аб'явы для шырокай супольнасці криптовалют і Web3:
1/ @deBridgeFinance быў аб'ектам спробы кібератакі, відавочна, з боку групы Lazarus.
PSA для ўсіх каманд у Web3, гэтая кампанія, верагодна, шырока распаўсюджана. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Жнівень 5, 2022
Каманда Смірнова адзначыла, што атака не заразіць карыстальнікаў macOS, паколькі спробы адкрыць спасылку на Mac прыводзяць да zip-архіву са звычайным PDF-файлам Adjustments.pdf. Аднак сістэмы на базе Windows знаходзяцца ў небяспецы, як патлумачыў Смірноў:
«Вектар атакі наступны: карыстальнік адкрывае спасылку з электроннай пошты, спампоўвае і адкрывае архіў, спрабуе адкрыць PDF, але PDF запытвае пароль. Карыстальнік адкрывае password.txt.lnk і заражае ўсю сістэму».
Тэкставы файл наносіць шкоду, выконваючы каманду cmd.exe, якая правярае сістэму на наяўнасць антывіруснага праграмнага забеспячэння. Калі сістэма не абаронена, шкоднасны файл захоўваецца ў тэчцы аўтазапуску і пачынае ўзаемадзейнічаць са зламыснікам для атрымання інструкцый.
Па тэме: 'Іх ніхто не стрымлівае» — пагроза паўночнакарэйскай кібератакі расце
Каманда deBridge дазволіла скрыпту атрымліваць інструкцыі, але анулявала магчымасць выканання любых каманд. Гэта паказала, што код збірае паласу інфармацыі аб сістэме і экспартуе яе зламыснікам. Пры звычайных абставінах хакеры змогуць запускаць код на заражанай машыне з гэтага моманту.
Смірноў звязаны вернемся да ранейшых даследаванняў фішынгавых атак, праведзеных групай Lazarus Group, якія выкарыстоўвалі тыя ж імёны файлаў:
#DangerousPassword (CryptoCore/CryptoMimic) #АПТ:
b52e3aaf1bd6e45d695db573abc886dc
Пароль.txt.lnkwww[.]googlesheet[.]info – перакрыцце інфраструктуры з @h2jaziтвіт, а таксама папярэднія кампаніі.
d73e832c84c45c3faa9495b39833adb2
Новыя карэкціроўкі заработнай платы.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Ліпеня 21, 2022
2022 год бачыў а ўсплёск хакерскіх перакрыжаванняў як падкрэсліла кампанія па аналізе блокчейнов Chainalysis. Крыптавалюта на суму больш за 2 мільярды долараў была выкрадзена ў выніку 13 розных нападаў у гэтым годзе, што складае амаль 70% скрадзеных сродкаў. Мост Ронін Axie Infinity быў найбольш пацярпелых да гэтага часу, страціўшы 612 мільёнаў долараў ад хакераў у сакавіку 2022 года.
Крыніца: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group