Кроссчейн-протоколы и фирмы Web3 по-прежнему становятся мишенью хакерских групп, поскольку deBridge Finance раскрывает неудавшуюся атаку, которая имеет отличительные черты северокорейской хакерской группы Lazarus.
В пятницу днем сотрудники deBridge Finance получили похожее на очередное электронное письмо от соучредителя Алекса Смирнова. Приложение под названием «Новые корректировки заработной платы» должно было вызвать интерес, поскольку различные криптовалютные фирмы увольняли сотрудников и сокращали заработную плату во время продолжающейся криптовалютной зимы.
Несколько сотрудников пометили электронное письмо и его вложение как подозрительные, но один сотрудник клюнул на приманку и скачал PDF-файл. Это оказалось случайностью, так как команда deBridge работала над распаковкой вектора атаки, отправленного с поддельного адреса электронной почты, созданного для того, чтобы отражать адрес Смирнова.
Соучредитель углубился в тонкости попытки фишинговой атаки в длинной ветке Twitter, опубликованной 5 августа, выступая в качестве публичного объявления для более широкого сообщества криптовалюты и Web3:
1/ @deBridgeFinance подвергся попытке кибератаки, очевидно, со стороны группы Lazarus. PSA для всех команд в Web3, эта кампания, скорее всего, широко распространена.pic.twitter.com/P5bxY46O6m— deAlex (@AlexSmirnov__) 5 августа 2022 г.
Команда Смирнова отметила, что атака не заразит пользователей macOS, так как попытки открыть ссылку на Mac приводят к zip-архиву с обычным PDF-файлом Adjustments.pdf. Однако системы на базе Windows находятся под угрозой, как объяснил Смирнов:
«Вектор атаки следующий: пользователь открывает ссылку из письма, скачивает и открывает архив, пытается открыть PDF, но PDF запрашивает пароль. Пользователь открывает password.txt.lnk и заражает всю систему».
Текстовый файл наносит ущерб, выполняя команду cmd.exe, которая проверяет систему на наличие антивирусного программного обеспечения. Если система не защищена, вредоносный файл сохраняется в папке автозапуска и начинает общаться с злоумышленником для получения инструкций.
Команда deBridge разрешила скрипту получать инструкции, но аннулировала возможность выполнять любые команды. Это показало, что код собирает множество информации о системе и экспортирует ее злоумышленникам. При нормальных обстоятельствах с этого момента хакеры смогут запускать код на зараженной машине.
Смирнов сослался на более раннее исследование фишинговых атак, проведенных Lazarus Group, в которых использовались те же имена файлов:
#DangerousPassword (CryptoCore/CryptoMimic) #APT: b52e3aaf1bd6e45d695db573abc886dc Password.txt.lnk www[.]googlesheet[.]info — инфраструктура, пересекающаяся с твитом @h2jazi, а также с более ранними кампаниями.d73e832c84c45c3faa9495b39833adb2 Новые корректировки заработной платы.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) 21 июля 2022 г.
В 2022 году наблюдался всплеск хакерских атак, как отмечает аналитическая компания Chainalysis. В этом году в результате 13 различных атак было украдено криптовалют на сумму более 2 миллиардов долларов, что составляет почти 70% украденных средств. Мост Ronin компании Axie Infinity до сих пор пострадал больше всего: в марте 2022 года хакеры потеряли 612 миллионов долларов.
