Xích chéo, hãy cẩn thận! DeBridge cờ đã cố gắng tấn công lừa đảo, nghi ngờ Lazarus Group

deBridge Finance sống sót sau một cuộc tấn công lừa đảo có chủ đích, chỉ tay vào Nhóm Lazarus của Triều Tiên và cảnh báo cộng đồng rộng lớn phải đề phòng.

Các giao thức chuỗi chéo và các công ty Web3 tiếp tục là mục tiêu của các nhóm tấn công khi deBridge Finance thực hiện một cuộc tấn công thất bại mà người bán cho rằng dấu hiệu của tin tặc Lazarus Group của Triều Tiên.

Các nhân viên của deBridge Finance đã nhận được một email bình thường khác từ người đồng sáng lập Alex Smirnov vào một buổi chiều thứ Sáu. Một tệp đính kèm có nhãn 'Điều chỉnh mức lương mới' bị ràng buộc để thu hút sự quan tâm, với các công ty tiền điện tử khác nhau thiết lập việc sa thải nhân viên và cắt giảm lương trong mùa đông tiền điện tử đang diễn ra.

Một số nhân viên đã gắn cờ email và tệp đính kèm của nó là đáng ngờ, nhưng một nhân viên đã nhận lời và tải xuống tệp PDF. Điều này có thể chứng minh là tình cờ, vì nhóm deBridge đã làm việc để giải nén vectơ tấn công được gửi từ một địa chỉ email giả mạo được thiết kế để phản chiếu Smirnov.

Người đồng sáng lập đã nghiên cứu về sự phức tạp của cuộc tấn công lừa đảo cố gắng trong một chủ đề dài trên Twitter được đăng vào ngày 5 tháng 8, hoạt động như một thông báo dịch vụ công cộng cho cộng đồng tiền điện tử và Web3 rộng lớn hơn:

1/ @deBridgeFinance has been the subject of an attempted cyberattack, apparently by the Lazarus group.

PSA for all teams in Web3, this campaign is likely widespread. pic.twitter.com/P5bxY46O6m

— deAlex (@AlexSmirnov__) August 5, 2022

Nhóm Smirnov lưu ý rằng cuộc tấn công sẽ không lây nhiễm cho người dùng macOS, vì nỗ lực mở liên kết trên máy Mac dẫn đến lưu trữ zip với tệp PDF bình thường Adjustments.pdf. Tuy nhiên, các hệ thống dựa trên Windows có nguy cơ như Smirnov giải thích:

Vectơ tấn công như sau: người dùng mở liên kết từ email, tải xuống mở kho lưu trữ, cố gắng mở PDF nhưng PDF yêu cầu mật khẩu. Người dùng mở password.txt.lnk và lây nhiễm toàn bộ hệ thống.

Tệp văn bản gây ra thiệt hại, thực hiện lệnh cmd.exe để test hệ thống để tìm phần mềm chống vi-rút. Nếu hệ thống không được bảo vệ, tệp độc hại sẽ được lưu trong thư mục tự khởi động và bắt đầu giao tiếp với kẻ tấn công để nhận hướng dẫn.

Nhóm deBridge cho phép tập lệnh nhận lệnh nhưng vô hiệu hóa khả năng thực thi bất kỳ lệnh nào. Điều này tiết lộ rằng mã thu thập một loạt thông tin về hệ thống và xuất nó cho những kẻ tấn công. Trong các trường hợp bình thường, tin tặc sẽ có thể chạy mã trên máy bị nhiễm từ thời điểm này trở đi.

Smirnov liên kết trở lại với nghiên cứu trước đó về các cuộc tấn công lừa đảo do Lazarus Group thực hiện, sử dụng cùng tên tệp:

#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnk

www[.]googlesheet[.]info - overlapping infrastructure with @h2jazi's tweet as well as earlier campaigns.

d73e832c84c45c3faa9495b39833adb2
New Salary Adjustments.pdf https://t.co/kDyGXvnFaz

— The Banshee Queen Strahdslayer (@cyberoverdrive) July 21, 2022

2 USD02 USD2 USD đã chứng kiến sự biến động trong các vụ hack xuyên cầu như được công ty phân tích blockchain Chainalysis nhấn mạnh. Hơn 2 tỷ USD tiền điện tử trị giá hơn 2 tỷ USD đã bị tiêu diệt trong 13 cuộc tấn công khác nhau trong năm nay, chiếm gần 70% số tiền bị đánh cắp. Cầu Ronin của Axie Infinity bị ảnh hưởng nặng nề nhất cho đến nay - mất 612 triệu USD vào tay tin tặc vào tháng 3 2 USD02 USD2 USD.

Theo CoinTelegraph