Τα πρωτόκολλα πολλαπλών αλυσίδων και οι εταιρείες Web3 συνεχίζουν να γίνονται στόχος ομάδων hacking, καθώς η deBridge Finance αποκαλύπτει μια αποτυχημένη επίθεση που φέρει τα χαρακτηριστικά των χάκερ του Ομίλου Lazarus της Βόρειας Κορέας.
Οι υπάλληλοι της deBridge Finance έλαβαν κάτι που έμοιαζε με ένα άλλο συνηθισμένο email από τον συνιδρυτή Alex Smirnov το απόγευμα της Παρασκευής. Ένα συνημμένο με την ένδειξη «Νέες προσαρμογές μισθού» ήταν βέβαιο ότι θα κεντρίσει το ενδιαφέρον, με διάφορες εταιρείες κρυπτονομισμάτων θέσπιση απολύσεων προσωπικού και περικοπών μισθών κατά τη διάρκεια του συνεχιζόμενου χειμώνα κρυπτονομισμάτων.
Μια χούφτα υπαλλήλων επισήμαναν το email και το συνημμένο του ως ύποπτα, αλλά ένα μέλος του προσωπικού πήρε το δόλωμα και κατέβασε το αρχείο PDF. Αυτό θα αποδεικνυόταν τυχαίο, καθώς η ομάδα του deBridge εργάστηκε για την αποσυσκευασία του φορέα επίθεσης που στάλθηκε από μια πλαστή διεύθυνση email που είχε σχεδιαστεί για να αντικατοπτρίζει τη διεύθυνση του Smirnov.
Ο συνιδρυτής εξέτασε τις περιπλοκές της απόπειρας επίθεσης phishing σε ένα μακρύ νήμα στο Twitter που δημοσιεύτηκε την Παρασκευή, λειτουργώντας ως ανακοίνωση δημόσιας υπηρεσίας για την ευρύτερη κοινότητα κρυπτονομισμάτων και Web3:
1/ @deBridgeFinance έχει γίνει αντικείμενο απόπειρας κυβερνοεπίθεσης, προφανώς από την ομάδα Lazarus.
PSA για όλες τις ομάδες στο Web3, αυτή η καμπάνια είναι πιθανό να είναι ευρέως διαδεδομένη. pic.twitter.com/P5bxY46O6m
— από τον Άλεξ (@AlexSmirnov__) Αύγουστος 5, 2022
Η ομάδα του Smirnov σημείωσε ότι η επίθεση δεν θα μολύνει τους χρήστες macOS, καθώς οι προσπάθειες ανοίγματος του συνδέσμου σε Mac οδηγούν σε ένα αρχείο zip με το κανονικό αρχείο PDF Adjustments.pdf. Ωστόσο, τα συστήματα που βασίζονται σε Windows κινδυνεύουν όπως εξήγησε ο Smirnov:
«Το διάνυσμα επίθεσης είναι το εξής: ο χρήστης ανοίγει σύνδεσμο από το email, κατεβάζει και ανοίγει το αρχείο, προσπαθεί να ανοίξει το PDF, αλλά το PDF ζητά κωδικό πρόσβασης. Ο χρήστης ανοίγει το password.txt.lnk και μολύνει ολόκληρο το σύστημα."
Το αρχείο κειμένου κάνει τη ζημιά, εκτελώντας μια εντολή cmd.exe που ελέγχει το σύστημα για λογισμικό προστασίας από ιούς. Εάν το σύστημα δεν προστατεύεται, το κακόβουλο αρχείο αποθηκεύεται στον φάκελο αυτόματης εκκίνησης και αρχίζει να επικοινωνεί με τον εισβολέα για να λάβει οδηγίες.
Σχετίζεται με: 'Κανείς δεν τους κρατά πίσω» — η απειλή για κυβερνοεπίθεση από τη Βόρεια Κορέα αυξάνεται
Η ομάδα του deBridge επέτρεψε στο σενάριο να λαμβάνει οδηγίες, αλλά ακύρωνε τη δυνατότητα εκτέλεσης οποιωνδήποτε εντολών. Αυτό αποκάλυψε ότι ο κώδικας συλλέγει μια σειρά πληροφοριών σχετικά με το σύστημα και τις εξάγει σε εισβολείς. Υπό κανονικές συνθήκες, οι χάκερ θα μπορούσαν να εκτελούν κώδικα στο μολυσμένο μηχάνημα από αυτό το σημείο και μετά.
Σμύρνοφ συνδέονται πίσω στην προηγούμενη έρευνα για επιθέσεις phishing που πραγματοποιήθηκαν από την ομάδα Lazarus, η οποία χρησιμοποιούσε τα ίδια ονόματα αρχείων:
#DangerousPassword (CryptoCore/CryptoMimimic) #ΚΑΤΑΛΛΗΛΟΣ:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]πληροφορίες – επικαλυπτόμενη υποδομή με @h2jaziτου tweet καθώς και παλαιότερες καμπάνιες.
d73e832c84c45c3faa9495b39833adb2
Νέες αναπροσαρμογές μισθών.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) Ιούλιος 21, 2022
Το 2022 έχει δει α έξαρση των αμυχών σε cross-bridge όπως επισημαίνεται από την εταιρεία ανάλυσης blockchain Chainalysis. Κρυπτονομίσματα αξίας άνω των 2 δισεκατομμυρίων δολαρίων έχουν εξαφανιστεί σε 13 διαφορετικές επιθέσεις φέτος, αντιπροσωπεύοντας σχεδόν το 70% των κλεμμένων κεφαλαίων. Η γέφυρα Ronin του Axie Infinity ήταν η χειρότερο χτυπημένο μέχρι στιγμής, χάνοντας 612 εκατομμύρια δολάρια από χάκερ τον Μάρτιο του 2022.
Πηγή: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group