Protokoller på tvers av kjeder og Web3-firmaer fortsetter å være målrettet av hackergrupper, ettersom deBridge Finance pakker ut et mislykket angrep som bærer kjennetegnene til Nord-Koreas Lazarus Group-hackere.
deBridge Finance-ansatte mottok det som så ut som nok en vanlig e-post fra medgründer Alex Smirnov en fredag ettermiddag. Et vedlegg merket "Nye lønnsjusteringer" var nødt til å vekke interesse hos forskjellige kryptovalutafirmaer iverksette permitteringer og lønnskutt under den pågående kryptovaluta-vinteren.
En håndfull ansatte flagget e-posten og vedlegget som mistenkelig, men en medarbeider tok agnet og lastet ned PDF-filen. Dette skulle vise seg å være tilfeldig, ettersom deBridge-teamet jobbet med å pakke ut angrepsvektoren som ble sendt fra en falsk e-postadresse designet for å speile Smirnovs.
Medgründeren fordypet seg i vanskelighetene ved forsøket på phishing-angrep i en lang Twitter-tråd som ble lagt ut på fredag, og fungerte som en offentlig tjenestekunngjøring for det bredere kryptovaluta- og Web3-samfunnet:
1/ @deBridgeFinance har vært gjenstand for et forsøk på nettangrep, tilsynelatende av Lazarus-gruppen.
PSA for alle team i Web3, denne kampanjen er sannsynligvis utbredt. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) August 5, 2022
Smirnovs team bemerket at angrepet ikke ville infisere macOS-brukere, ettersom forsøk på å åpne koblingen på en Mac fører til et zip-arkiv med den vanlige PDF-filen Adjustments.pdf. Imidlertid er Windows-baserte systemer i faresonen som Smirnov forklarte:
"Angrepsvektoren er som følger: bruker åpner lenke fra e-post, laster ned og åpner arkiv, prøver å åpne PDF, men PDF ber om et passord. Brukeren åpner password.txt.lnk og infiserer hele systemet."
Tekstfilen gjør skaden, og utfører en cmd.exe-kommando som sjekker systemet for antivirusprogramvare. Hvis systemet ikke er beskyttet, lagres den skadelige filen i autostart-mappen og begynner å kommunisere med angriperen for å motta instruksjoner.
I slekt: 'Ingen holder dem tilbake» — Nordkoreansk cyberangrepstrussel øker
DeBridge-teamet lot skriptet motta instruksjoner, men opphevet muligheten til å utføre kommandoer. Dette avslørte at koden samler en mengde informasjon om systemet og eksporterer den til angripere. Under normale omstendigheter vil hackerne kunne kjøre kode på den infiserte maskinen fra dette tidspunktet og fremover.
Smirnov knyttet tilbake til tidligere forskning på phishing-angrep utført av Lazarus Group som brukte de samme filnavnene:
#FarligPassord (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – overlappende infrastruktur med @h2jazisin tweet samt tidligere kampanjer.
d73e832c84c45c3faa9495b39833adb2
Nye lønnsjusteringer.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 har sett en økning i kryss-bro hacks som fremhevet av blokkjedeanalysefirmaet Chainalysis. Over 2 milliarder dollar verdt av kryptovaluta har blitt flyktet i 13 forskjellige angrep i år, og utgjør nesten 70 % av stjålne midler. Axie Infinitys Ronin-bro har vært den verst rammet så langt, og tapte 612 millioner dollar til hackere i mars 2022.
Kilde: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group