„Lazarus Group“, liūdnai pagarsėjęs Šiaurės Korėjos remiamas programišių sindikatas, buvo nustatytas bandymo atakuoti „deBridge Finance“ kaltininku. Vienas iš kryžminio grandinės protokolo įkūrėjų ir projekto vadovas Aleksas Smirnovas teigė, kad atakos vektorius buvo išsiųstas el. paštu, kai keli komandos nariai gavo PDF failą pavadinimu „Naujas atlyginimo koregavimas“ iš suklastoto adreso, atspindinčio paties vadovo adresą.
Nors „deBridge Finance“ pavyko sutrukdyti sukčiavimo atakai, Smirnovas perspėjo, kad apgaulinga kampanija greičiausiai yra plačiai taikoma platformoms, orientuotoms į Web3.
Bandyta atakuoti deBridge
Pagal ilgą Twitter sriegis vadovas, dauguma komandos narių iškart pažymėjo įtartiną el. laišką, tačiau vienas atsisiuntė ir atidarė failą. Tai padėjo jiems ištirti atakos vektorių ir suprasti jo pasekmes.
Smirnovas taip pat paaiškino, kad „macOS“ naudotojai yra saugūs, nes „Mac“ kompiuteryje atidarius saitą būtų sukurtas ZIP archyvas su įprastu PDF failu Adjustments.pdf. Kita vertus, „Windows“ sistemos nėra apsaugotos nuo pavojų. Vietoj to, Windows vartotojai bus nukreipti į archyvą su abejotinu slaptažodžiu apsaugotu pdf tokiu pačiu pavadinimu ir papildomu failu pavadinimu Password.txt.lnk.
Tekstinis failas iš esmės užkrės sistemą. Dėl to antivirusinės programinės įrangos trūkumas padės kenkėjiškam failui prasiskverbti į įrenginį ir bus išsaugotas automatinio paleidimo aplanke, po kurio paprastas scenarijus pradės siųsti pasikartojančius užklausas susisiekti su užpuoliku, kad gautų instrukcijas.
„Atakos vektorius yra toks: vartotojas atidaro nuorodą iš el. pašto -> atsisiunčia ir atidaro archyvą -> bando atidaryti PDF, bet PDF prašo slaptažodžio -> vartotojas atidaro password.txt.lnk ir užkrečia visą sistemą.
Tada vienas įkūrėjų paragino įmones ir jų darbuotojus niekada neatidaryti el. laiškų priedų nepatikrinus viso siuntėjo el. pašto adreso ir turėti vidinį protokolą, kaip komandos dalijasi priedais.
„Prašome likti SAFU ir pasidalinti šia tema, kad visi žinotų apie galimas atakas.
„Lazarus Attackers“ nusitaikė į kriptovaldžius
Valstybės remiamos Šiaurės Korėjos programišių grupės yra liūdnai pagarsėjusios finansiškai motyvuotų atakų vykdymu. Pavyzdžiui, Lazarus įvykdė daug aukšto lygio atakų prieš kriptovaliutų biržas, NFT prekyvietes ir individualius investuotojus, turinčius didelę akcijų dalį. Atrodo, kad naujausia ataka labai panaši į ankstesnes, surengtas įsilaužimo sindikato.
COVID-19 protrūkio metu Lozoriaus vadovaujami elektroniniai nusikaltimai pjūklas didžiulė pakilimo tendencija. Visai neseniai grupė pavogė daugiau nei 620 milijonų dolerių iš Axie Infinity Ronino tilto šių metų pradžioje.
Tiesą sakant, ataskaitos taip pat atskleisti kad šalies kibernetinė programa yra didelė ir gerai organizuota, nepaisant to, kad ji yra ekonomiškai izoliuota nuo likusio pasaulio. Remiantis daugeliu JAV vyriausybės šaltinių, šie subjektai taip pat prisitaikė prie Web3 ir šiuo metu taikosi į decentralizuotą finansų erdvę.
„Binance Free“ 100 USD (išskirtinis): Naudokite šią nuorodą užsiregistruoti ir gauti 100 USD nemokamą ir 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Specialus „PrimeXBT“ pasiūlymas: Naudokite šią nuorodą užsiregistruoti ir įvesti POTATO50 kodą, kad gautumėte iki 7,000 USD už savo indėlius.
Šaltinis: https://cryptopotato.com/notorious-lazarus-group-attempted-cyber-attack-alleges-debridge-co-founder/