Kryžminių grandinių protokolai ir Web3 įmonės ir toliau yra įsilaužėlių grupių taikinys, nes „deBridge Finance“ išpakuoja nesėkmingą ataką, kuri pasižymi Šiaurės Korėjos „Lazarus Group“ įsilaužėlių požymiais.
„deBridge Finance“ darbuotojai penktadienio popietę gavo tarsi kitą paprastą el. laišką iš įkūrėjo Alexo Smirnovo. Priedas, pavadintas „Nauji atlyginimų koregavimai“, neabejotinai sukėlė susidomėjimą įvairiomis kriptovaliutų įmonėmis. darbuotojų atleidimas ir atlyginimų mažinimas vykstančios kriptovaliutų žiemos metu.
Keletas darbuotojų pažymėjo el. laišką ir jo priedą kaip įtartinus, tačiau vienas darbuotojas paėmė masalą ir atsisiuntė PDF failą. Tai būtų atsitiktinė, nes „deBridge“ komanda stengėsi išpakuoti atakos vektorių, atsiųstą iš netikro el. pašto adreso, sukurto atspindėti Smirnovo adresą.
Penktadienį paskelbtame ilgoje „Twitter“ temoje vienas iš įkūrėjų įsigilino į bandymo sukčiauti ataką, kuri buvo viešas pranešimas platesnei kriptovaliutų ir Web3 bendruomenei:
1/ @deBridgeFinance buvo pasikėsinta į kibernetinę ataką, matyt, surengta Lazarus grupės.
PSA visoms Web3 komandoms, ši kampanija greičiausiai bus plačiai paplitusi. pic.twitter.com/P5bxY46O6m
- deAlexas (@AlexSmirnov__) Rugpjūtis 5, 2022
Smirnovo komanda pažymėjo, kad ataka neužkrės „macOS“ naudotojų, nes bandymai atidaryti nuorodą „Mac“ kompiuteryje veda į ZIP archyvą su įprastu PDF failu Adjustments.pdf. Tačiau, kaip paaiškino Smirnovas, kyla pavojus „Windows“ sistemoms:
„Atakos vektorius yra toks: vartotojas atidaro nuorodą iš el. pašto, atsisiunčia ir atidaro archyvą, bando atidaryti PDF, bet PDF prašo slaptažodžio. Vartotojas atidaro password.txt.lnk ir užkrečia visą sistemą.
Tekstinis failas padaro žalą, vykdydamas komandą cmd.exe, kuri patikrina, ar sistemoje nėra antivirusinės programinės įrangos. Jei sistema neapsaugota, kenkėjiškas failas išsaugomas automatinio paleidimo aplanke ir pradeda bendrauti su užpuoliku, kad gautų instrukcijas.
Susijęs: 'Niekas jų nestabdo“ – Šiaurės Korėjos kibernetinių atakų grėsmė didėja
DeBridge komanda leido scenarijui gauti instrukcijas, tačiau panaikino galimybę vykdyti bet kokias komandas. Tai atskleidė, kad kodas surenka daugybę informacijos apie sistemą ir eksportuoja ją užpuolikams. Įprastomis aplinkybėmis nuo šio momento įsilaužėliai galės paleisti kodą užkrėstame kompiuteryje.
Smirnovas susijęs atgal į ankstesnius „Lazarus Group“ atliktų sukčiavimo atakų tyrimus, kurie naudojo tuos pačius failų pavadinimus:
#Pavojingas slaptažodis („CryptoCore“ / „CryptoMimic“) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Slaptažodis.txt.lnkwww[.]googlesheet[.]info – persidengianti infrastruktūra su @h2jazitviteryje, taip pat ankstesnėse kampanijose.
d73e832c84c45c3faa9495b39833adb2
Nauji atlyginimų koregavimai.pdf https://t.co/kDyGXvnFaz- „The Banshee Queen Strahdslayer“ (@cyberoverdrive) Liepa 21, 2022
2022 m. matė a kryžminio tilto įsilaužimų antplūdis kaip pabrėžia „blockchain“ analizės įmonė „Chainalysis“. Šiais metais per 2 skirtingų atakų buvo panaudota daugiau nei 13 milijardų dolerių vertės kriptovaliuta, o tai sudaro beveik 70% pavogtų lėšų. Axie Infinity Ronino tiltas buvo iki šiol labiausiai nukentėjo612 m. kovo mėn. įsilaužėliams prarado 2022 mln.
Šaltinis: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group