Кросс-тізбегі хаттамалар мен Web3 фирмалары хакерлік топтардың нысанасына айналуда, өйткені deBridge Finance Солтүстік Кореяның Lazarus Group хакерлерінің белгілері бар сәтсіз шабуылды ашады.
deBridge Finance қызметкерлері жұма күні түстен кейін құрылтайшы Алекс Смирновтан тағы бір кәдімгі электрондық поштаны алды. «Жалақыны жаңа түзетулер» деп белгіленген қосымша әртүрлі криптовалюта фирмаларының қызығушылығын тудырды. қызметкерлерді қысқарту және жалақыны қысқарту жалғасып жатқан криптовалюта қыста.
Бірнеше қызметкер электрондық поштаны және оның қосымшасын күдікті деп белгіледі, бірақ бір қызметкер жемді алып, PDF файлын жүктеп алды. Бұл кездейсоқтық болды, өйткені deBridge командасы Смирновты көрсетуге арналған жалған электрондық пошта мекенжайынан жіберілген шабуыл векторын ашумен жұмыс істеді.
Құрылтайшы жұма күні жарияланған Twitter желісінде фишингтік шабуыл әрекетінің қыр-сырын зерттеді, ол кеңірек криптовалюта және Web3 қауымдастығы үшін мемлекеттік қызмет туралы хабарландыру ретінде әрекет етті:
1/ @deBridgeFinance Лазар тобының кибершабуылының нысанасы болды.
Web3-тегі барлық командалар үшін PSA, бұл науқан кең таралған болуы мүмкін. pic.twitter.com/P5bxY46O6m
— деАлекс (@AlexSmirnov__) Тамыз 5, 2022
Смирновтың командасы шабуылдың macOS пайдаланушыларына жұқтырмайтынын атап өтті, өйткені Mac жүйесінде сілтемені ашу әрекеті Adjustments.pdf қалыпты PDF файлы бар zip мұрағатына әкеледі. Дегенмен, Смирнов түсіндіргендей, Windows жүйесіне негізделген жүйелер тәуекелге ұшырайды:
«Шабуыл векторы келесідей: пайдаланушы электрондық поштадан сілтемені ашады, жүктеп алады және мұрағатты ашады, PDF ашуға тырысады, бірақ PDF құпия сөзді сұрайды. Пайдаланушы password.txt.lnk файлын ашып, бүкіл жүйені жұқтырады».
Мәтіндік файл жүйеде антивирустық бағдарламалық құралдың бар-жоғын тексеретін cmd.exe пәрменін орындай отырып, зиян келтіреді. Жүйе қорғалмаған болса, зиянды файл автоматты іске қосу қалтасында сақталады және нұсқауларды алу үшін шабуылдаушымен байланыса бастайды.
Байланысты: 'Оларды ешкім ұстап тұрған жоқ' — Солтүстік Кореяның кибершабуыл қаупі артып келеді
DeBridge командасы сценарийге нұсқауларды алуға рұқсат берді, бірақ кез келген пәрмендерді орындау мүмкіндігін жойды. Бұл кодтың жүйе туралы ақпараттың көп бөлігін жинап, оны шабуылдаушыларға экспорттайтынын көрсетті. Қалыпты жағдайда, хакерлер осы сәттен бастап вирус жұққан машинада кодты іске қоса алады.
Смирнов байланысты бірдей файл атауларын пайдаланған Lazarus тобы жүргізген фишингтік шабуылдарға қатысты бұрынғы зерттеулерге оралу:
#ҚауіптіҚұпиясөз (CryptoCore/CryptoMimic) #АПТ:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – қабаттасатын инфрақұрылым @h2jazi's tweet, сондай-ақ бұрынғы науқандар.
d73e832c84c45c3faa9495b39833adb2
Жаңа жалақы түзетулері.pdf https://t.co/kDyGXvnFaz— Банши ханшайымы Страхдслайер (@cyberoverdrive) Шілде 21, 2022
2022 жыл көрді кросс-көпірді бұзудың өсуі Chainalysis блокчейн талдау фирмасы атап өткендей. Биылғы жылы 2 түрлі шабуылда 13 миллиард доллардан астам криптовалюта ұрланды, бұл ұрланған қаражаттың шамамен 70% құрайды. Axie Infinity компаниясының Ронин көпірі болды осы уақытқа дейінгі ең ауыр соққы, 612 жылдың наурыз айында хакерлерден 2022 миллион доллар жоғалтты.
Дереккөз: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group