跨鏈協議和 Web3 公司繼續成為黑客組織的目標,因為 deBridge Finance 解開了一個帶有朝鮮 Lazarus Group 黑客特徵的失敗攻擊。
週五下午,deBridge Finance 的員工收到了來自聯合創始人 Alex Smirnov 的另一封看似普通的電子郵件。 一個標有“新工資調整”的附件必然會引起各種加密貨幣公司的興趣 實施裁員和減薪 在正在進行的加密貨幣冬季。
少數員工將這封電子郵件及其附件標記為可疑,但一名員工上當並下載了 PDF 文件。 這將被證明是偶然的,因為 deBridge 團隊致力於解開從一個旨在反映 Smirnov 的欺騙性電子郵件地址發送的攻擊向量。
這位聯合創始人在周五發布的一個冗長的 Twitter 帖子中深入研究了網絡釣魚攻擊的複雜性,作為更廣泛的加密貨幣和 Web3 社區的公共服務公告:
1/ @deBridgeFinance 一直是網絡攻擊未遂的目標,顯然是由 Lazarus 組織發起的。
對於 Web3 中的所有團隊的 PSA,此活動很可能會廣泛傳播。 pic.twitter.com/P5bxY46O6m
— 德亞歷克斯(@AlexSmirnov__) 2022 年 8 月 5 日
Smirnov 的團隊指出,該攻擊不會感染 macOS 用戶,因為嘗試在 Mac 上打開鏈接會導致帶有普通 PDF 文件 Adjustments.pdf 的 zip 存檔。 然而,Smirnov 解釋說,基於 Windows 的系統存在風險:
“攻擊向量如下:用戶從電子郵件中打開鏈接,下載並打開存檔,嘗試打開 PDF,但 PDF 要求輸入密碼。 用戶打開 password.txt.lnk 並感染整個系統。”
文本文件造成損壞,執行 cmd.exe 命令檢查系統是否有防病毒軟件。 如果系統沒有受到保護,惡意文件將保存在自動啟動文件夾中,並開始與攻擊者通信以接收指令。
有關的: '沒有人阻止他們”——朝鮮網絡攻擊威脅上升
deBridge 團隊允許腳本接收指令,但取消了執行任何命令的能力。 這表明該代碼收集了有關係統的大量信息並將其導出給攻擊者。 在正常情況下,黑客將能夠從此時開始在受感染的機器上運行代碼。
斯米爾諾夫 鏈接 回到早期對 Lazarus Group 使用相同文件名進行的網絡釣魚攻擊的研究:
#危險密碼 (加密核心/加密模擬) #易於:
b52e3aaf1bd6e45d695db573abc886dc
密碼.txt.lnkwww[.]googlesheet[.]info – 與基礎設施重疊 @h2jazi的推文以及早期的活動。
d73e832c84c45c3faa9495b39833adb2
新的工資調整.pdf https://t.co/kDyGXvnFaz— 女妖女王 Strahdslayer (@cyberoverdrive) 2022 年 7 月 21 日
2022 年見證了 跨橋黑客攻擊激增 正如區塊鏈分析公司Chainalysis所強調的那樣。 今年,價值超過 2 億美元的加密貨幣在 13 次不同的攻擊中被盜,佔被盜資金的近 70%。 Axie Infinity 的 Ronin 橋是 迄今為止受災最嚴重,在 612 年 2022 月向黑客損失了 XNUMX 億美元。
資料來源:https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group