Protokoller på tværs af kæder og Web3-virksomheder er fortsat målrettet af hackergrupper, da deBridge Finance udpakker et mislykket angreb, der bærer kendetegnene for Nordkoreas Lazarus Group-hackere.
deBridge Finance-medarbejdere modtog, hvad der lignede endnu en almindelig e-mail fra medstifter Alex Smirnov en fredag eftermiddag. En vedhæftet fil mærket "Nye lønjusteringer" var bundet til at vække interesse hos forskellige kryptovalutafirmaer iværksættelse af afskedigelser og lønnedgange under den igangværende kryptovaluta-vinter.
En håndfuld medarbejdere markerede e-mailen og dens vedhæftede filer som mistænkelige, men en medarbejder tog lokket og downloadede PDF-filen. Dette ville vise sig at være tilfældigt, da deBridge-teamet arbejdede på at udpakke angrebsvektoren sendt fra en falsk e-mailadresse designet til at spejle Smirnovs.
Medstifteren dykkede ned i forviklingerne af forsøget på phishing-angreb i en lang Twitter-tråd, der blev offentliggjort fredag, og fungerede som en public service-meddelelse for det bredere cryptocurrency- og Web3-fællesskab:
1/ @deBridgeFinance har været genstand for et forsøg på cyberangreb, tilsyneladende af Lazarus-gruppen.
PSA for alle hold i Web3, denne kampagne er sandsynligvis udbredt. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) August 5, 2022
Smirnovs team bemærkede, at angrebet ikke ville inficere macOS-brugere, da forsøg på at åbne linket på en Mac fører til et zip-arkiv med den normale PDF-fil Adjustments.pdf. Windows-baserede systemer er dog i fare, som Smirnov forklarede:
“Angrebsvektoren er som følger: bruger åbner link fra e-mail, downloader og åbner arkiv, forsøger at åbne PDF, men PDF beder om en adgangskode. Brugeren åbner password.txt.lnk og inficerer hele systemet."
Tekstfilen gør skaden ved at udføre en cmd.exe-kommando, som tjekker systemet for antivirussoftware. Hvis systemet ikke er beskyttet, gemmes den skadelige fil i autostart-mappen og begynder at kommunikere med angriberen for at modtage instruktioner.
Relaterede: 'Ingen holder dem tilbage' — Nordkoreansk trussel om cyberangreb stiger
DeBridge-teamet tillod scriptet at modtage instruktioner, men annullerede muligheden for at udføre alle kommandoer. Dette afslørede, at koden indsamler en række oplysninger om systemet og eksporterer det til angribere. Under normale omstændigheder ville hackerne være i stand til at køre kode på den inficerede maskine fra dette tidspunkt og frem.
Smirnov forbundet tilbage til tidligere forskning i phishing-angreb udført af Lazarus Group, som brugte de samme filnavne:
#DangerousPassword (CryptoCore/CryptoMimic) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – overlappende infrastruktur med @h2jazis tweet samt tidligere kampagner.
d73e832c84c45c3faa9495b39833adb2
Nye lønreguleringer.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 har set en stigning i cross-bridge hacks som fremhævet af blockchain-analysefirmaet Chainalysis. Kryptovalutaer til en værdi af over 2 milliarder dollars er blevet forkastet i 13 forskellige angreb i år, hvilket tegner sig for næsten 70 % af de stjålne midler. Axie Infinitys Ronin-bro har været den værst ramt hidtil, og mistede $612 millioner til hackere i marts 2022.
Kilde: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group