Medverižni protokoli in podjetja Web3 so še naprej tarča hekerskih skupin, medtem ko deBridge Finance razpakira neuspeli napad, ki nosi znake severnokorejskih hekerjev Lazarus Group.
Zaposleni pri deBridge Finance so v petek popoldne od soustanovitelja Alexa Smirnova prejeli nekaj, kar je izgledalo kot še eno običajno e-poštno sporočilo. Priloga z oznako »Nove prilagoditve plač« je zagotovo vzbudila zanimanje z različnimi podjetji za kriptovalute odpuščanje osebja in znižanje plač med trenutno zimo kriptovalut.
Nekaj zaposlenih je e-poštno sporočilo in njegovo prilogo označilo za sumljivo, vendar je en uslužbenec zagrizel v vabo in prenesel datoteko PDF. To bi se izkazalo za naključno, saj je ekipa deBridge delala na razpakiranju vektorja napada, poslanega z lažnega e-poštnega naslova, ki je bil zasnovan tako, da zrcali Smirnovega.
Soustanovitelj se je poglobil v zapletenost poskusa lažnega predstavljanja v dolgi niti na Twitterju, objavljeni v petek, ki je delovala kot javno obvestilo za širšo skupnost kriptovalut in Web3:
1/ @deBridgeFinance je bil predmet poskusa kibernetskega napada, ki ga je očitno izvedla skupina Lazarus.
PSA za vse ekipe v Web3 je ta kampanja verjetno zelo razširjena. pic.twitter.com/P5bxY46O6m
— od Alex (@AlexSmirnov__) Avgust 5, 2022
Ekipa Smirnova je ugotovila, da napad ne bi okužil uporabnikov macOS, saj poskusi odpiranja povezave na Macu vodijo do arhiva zip z običajno datoteko PDF Adjustments.pdf. Vendar so sistemi, ki temeljijo na sistemu Windows, ogroženi, kot je pojasnil Smirnov:
»Vektor napada je naslednji: uporabnik odpre povezavo iz e-pošte, prenese in odpre arhiv, poskuša odpreti PDF, vendar PDF zahteva geslo. Uporabnik odpre password.txt.lnk in okuži celoten sistem.”
Besedilna datoteka povzroči škodo in izvede ukaz cmd.exe, ki preveri, ali je v sistemu protivirusna programska oprema. Če sistem ni zaščiten, se zlonamerna datoteka shrani v mapo za samodejni zagon in začne komunicirati z napadalcem, da prejme navodila.
Povezano: 'Nihče jih ne zadržuje' — Grožnja severnokorejskega kibernetskega napada narašča
Ekipa deBridge je skriptu dovolila, da prejme navodila, vendar je izničila možnost izvajanja kakršnih koli ukazov. To je pokazalo, da koda zbira vrsto informacij o sistemu in jih izvozi napadalcem. V normalnih okoliščinah bi lahko hekerji izvajali kodo na okuženem računalniku od te točke naprej.
Smirnov povezane nazaj k prejšnjim raziskavam napadov lažnega predstavljanja, ki jih je izvedla skupina Lazarus Group, ki je uporabljala ista imena datotek:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – prekrivajoča se infrastruktura z @h2jazitweet osebe kot tudi prejšnje kampanje.
d73e832c84c45c3faa9495b39833adb2
Nove uskladitve plač.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Julij 21, 2022
2022 je videl a porast vdorov čez most kot poudarja podjetje za analizo blockchain Chainalysis. Letos je bilo v 2 različnih napadih ukradenih kriptovalut v vrednosti več kot 13 milijardi dolarjev, kar predstavlja skoraj 70 % ukradenih sredstev. Ronin most Axie Infinity je bil najhuje prizadet do sedaj, ki je marca 612 zaradi hekerjev izgubil 2022 milijonov dolarjev.
Vir: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group