Datorurķēšanas grupas joprojām ir vērstas pret vairāku ķēžu protokoliem un Web3 uzņēmumiem, jo deBridge Finance izpako neveiksmīgu uzbrukumu, kam ir raksturīgas Ziemeļkorejas Lazarus Group hakeru pazīmes.
DeBridge Finance darbinieki piektdienas pēcpusdienā no līdzdibinātāja Aleksa Smirnova saņēma, šķiet, kārtējo e-pasta ziņojumu. Pielikums ar nosaukumu “Jaunas algas korekcijas” izraisīja dažādu kriptovalūtu firmu interesi. darbinieku atlaišanu un algu samazināšanu notiekošās kriptovalūtu ziemas laikā.
Daži darbinieki atzīmēja e-pastu un tā pielikumu kā aizdomīgus, bet viens darbinieks izmantoja ēsmu un lejupielādēja PDF failu. Tas izrādītos nejauši, jo deBridge komanda strādāja pie uzbrukuma vektora izpakošanas, kas tika nosūtīts no viltus e-pasta adreses, kas paredzēta, lai atspoguļotu Smirnova adresi.
Līdzdibinātājs iedziļinājās pikšķerēšanas uzbrukuma mēģinājuma sarežģītībā piektdien ievietotajā garajā Twitter pavedienā, kas darbojas kā sabiedrisks paziņojums plašākai kriptovalūtas un Web3 kopienai:
1/ @deBridgeFinance ir bijis kiberuzbrukuma mēģinājuma objekts, ko acīmredzot veicis Lācara grupējums.
PSA visām Web3 komandām, šī kampaņa, iespējams, ir plaši izplatīta. pic.twitter.com/P5bxY46O6m
— deAlekss (@AlexSmirnov__) Augusts 5, 2022
Smirnova komanda atzīmēja, ka uzbrukums neinficētu macOS lietotājus, jo mēģinājumi atvērt saiti Mac datorā noved pie zip arhīva ar parasto PDF failu Adjustments.pdf. Tomēr uz Windows balstītas sistēmas ir apdraudētas, kā paskaidroja Smirnovs:
“Uzbrukuma vektors ir šāds: lietotājs atver saiti no e-pasta, lejupielādē un atver arhīvu, mēģina atvērt PDF, bet PDF pieprasa paroli. Lietotājs atver password.txt.lnk un inficē visu sistēmu.
Teksta fails nodara bojājumus, izpildot komandu cmd.exe, kas pārbauda, vai sistēmā nav pretvīrusu programmatūras. Ja sistēma nav aizsargāta, ļaunprātīgais fails tiek saglabāts automātiskās palaišanas mapē un sāk sazināties ar uzbrucēju, lai saņemtu norādījumus.
Saistīts: 'Neviens viņus neaizkavē” — pieaug Ziemeļkorejas kiberuzbrukumu draudi
DeBridge komanda ļāva skriptam saņemt norādījumus, taču atcēla spēju izpildīt visas komandas. Tas atklāja, ka kods apkopo daudz informācijas par sistēmu un eksportē to uzbrucējiem. Normālos apstākļos hakeri no šī brīža varētu palaist kodu inficētajā mašīnā.
Smirnovs saistīta atpakaļ uz iepriekšējiem pētījumiem par pikšķerēšanas uzbrukumiem, ko veica Lazarus Group, izmantojot tos pašus failu nosaukumus:
#Bīstamā parole (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info — infrastruktūra pārklājas ar @h2jazi's tvīts, kā arī iepriekšējās kampaņas.
d73e832c84c45c3faa9495b39833adb2
Jaunas algu korekcijas.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Jūlijs 21, 2022
2022. gadā ir redzēts a šķērsošanas tiltu uzlaušanas pieaugums kā to uzsvēra blokķēžu analīzes uzņēmums Chainalysis. Vairāk nekā 2 miljardu ASV dolāru vērta kriptovalūta šogad tika izmesta 13 dažādos uzbrukumos, veidojot gandrīz 70% no nozagtajiem līdzekļiem. Axie Infinity Ronin tilts ir bijis līdz šim vissliktākais, 612. gada martā hakeriem zaudējot 2022 miljonus dolāru.
Avots: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group