Häkkimisrühmad on jätkuvalt ahelatevahelised protokollid ja Web3 ettevõtted, kuna deBridge Finance võtab lahti ebaõnnestunud rünnaku, mis kannab Põhja-Korea Lazarus Groupi häkkerite tunnuseid.
deBridge Finance'i töötajad said reede pärastlõunal kaasasutaja Alex Smirnovilt justkui järjekordse tavalise e-kirja. Manus pealkirjaga "Uued palga korrigeerimised" tekitas erinevate krüptovaluutafirmade vastu huvi töötajate koondamine ja palgakärped käimasoleva krüptorahatalve ajal.
Käputäis töötajaid märkis meili ja selle manuse kahtlastena, kuid üks töötaja võttis õnge ja laadis alla PDF-faili. See osutuks juhuslikuks, kuna deBridge'i meeskond töötas lahti ründevektori, mis saadeti võltsitud e-posti aadressilt, mis oli mõeldud Smirnovi oma.
Kaasasutaja süvenes andmepüügikatse keerukustesse reedel postitatud pikas Twitteri lõimes, mis toimib laiemale krüptovaluutade ja Web3 kogukonnale mõeldud avaliku teenuse teatena:
1/ @deBridgeFinance on olnud küberrünnaku katse objektiks, ilmselt Lazaruse rühmituse poolt.
PSA kõigi Web3 meeskondade jaoks on see kampaania tõenäoliselt laialt levinud. pic.twitter.com/P5bxY46O6m
— autor Alex (@AlexSmirnov__) August 5, 2022
Smirnovi meeskond märkis, et rünnak ei nakata macOS-i kasutajaid, kuna katsed Macis linki avada viivad tavalise PDF-failiga Adjustments.pdf zip-arhiivi. Kuid Windowsi-põhised süsteemid on ohus, nagu Smirnov selgitas:
"Ründevektor on järgmine: kasutaja avab meilist lingi, laadib alla ja avab arhiivi, proovib avada PDF-i, kuid PDF küsib parooli. Kasutaja avab password.txt.lnk ja nakatab kogu süsteemi.
Tekstifail teeb kahju, käivitades käsu cmd.exe, mis kontrollib süsteemi viirusetõrjetarkvara olemasolu. Kui süsteem pole kaitstud, salvestatakse pahatahtlik fail automaatse käivitamise kausta ja see hakkab juhiste saamiseks ründajaga suhtlema.
Seotud: 'Keegi ei hoia neid tagasi” — Põhja-Korea küberrünnakuoht kasvab
DeBridge'i meeskond lubas skriptil saada juhiseid, kuid tühistas võime täita mis tahes käske. See näitas, et kood kogub süsteemi kohta hulga teavet ja ekspordib selle ründajatele. Tavaolukorras saavad häkkerid sellest hetkest alates nakatunud masinas koodi käivitada.
Smirnov seotud tagasi varasemate andmepüügirünnakute uurimise juurde, mille viis läbi Lazarus Group, mis kasutas samu failinimesid:
#Ohtlik parool (CryptoCore/CryptoMimic) #ASJAKOHANE:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – kattuv infrastruktuur @h2jazinii säutsu kui ka varasemate kampaaniate puhul.
d73e832c84c45c3faa9495b39833adb2
Uued palgakohandused.pdf https://t.co/kDyGXvnFaz— Banshee Queen Strahdslayer (@cyberoverdrive) Juuli 21, 2022
2022 on näinud a sillaüleste sissemurdmiste järsk tõus nagu on rõhutanud plokiahela analüüsifirma Chainalysis. Üle 2 miljardi dollari väärtuses krüptovaluutat on sel aastal kasutatud 13 erineva rünnaku käigus, mis moodustab ligi 70% varastatud vahenditest. Axie Infinity Ronini sild on olnud seni halvim tabamus, kaotas 612. aasta märtsis häkkeritele 2022 miljonit dollarit.
Allikas: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group