Межцепочечные протоколы и фирмы Web3 продолжают становиться мишенью для хакерских групп, так как deBridge Finance раскрывает неудавшуюся атаку, которая имеет признаки хакеров Lazarus Group из Северной Кореи.

В пятницу днем сотрудники компании deBridge Finance получили от соучредителя Алекса Смирнова обычное на первый взгляд письмо. Вложение с надписью "Новые корректировки заработной платы" должно было вызвать интерес, поскольку различные криптовалютные компании проводят увольнения сотрудников и сокращают зарплаты во время продолжающейся криптовалютной зимы.

Несколько сотрудников отметили это письмо и его вложение как подозрительные, но один из них клюнул на наживку и скачал PDF-файл. Это оказалось удачным, поскольку команда deBridge работала над распаковкой вектора атаки, отправленной с поддельного адреса электронной почты, созданного как зеркальное отражение адреса Смирнова.

Сооснователь компании подробно разобрался в тонкостях попытки фишинговой атаки в длинном сообщении в Twitter, опубликованном 5 августа, которое стало общественным объявлением для всего криптовалютного сообщества и сообщества Web3:

1/ @deBridgeFinance подвергся попытке кибератаки, очевидно, группой Lazarus.

PSA для всех команд в Web3, эта кампания, вероятно, широко распространена. pic.twitter.com/P5bxY46O6m

- deAlex (@AlexSmirnov__) 5 августа 2022 г.

Команда Смирнова отметила, что атака не заразит пользователей macOS, поскольку попытки открыть ссылку на Mac приводят к появлению zip-архива с обычным PDF-файлом Adjustments.pdf. Однако системы на базе Windows подвержены риску, как пояснил Смирнов:

"Вектор атаки следующий: пользователь открывает ссылку из электронной почты, скачивает и открывает архив, пытается открыть PDF, но PDF запрашивает пароль. Пользователь открывает файл password.txt.lnk и заражает всю систему".

Текстовый файл наносит вред, выполняя команду cmd.exe, которая проверяет систему на наличие антивирусного ПО. Если система не защищена, вредоносный файл сохраняется в папке автозапуска и начинает общаться со злоумышленником для получения инструкций.

Команда deBridge позволила скрипту получать инструкции, но лишила его возможности выполнять любые команды. В результате выяснилось, что код собирает обширную информацию о системе и экспортирует ее злоумышленникам. В обычных обстоятельствах хакеры могли бы запускать код на зараженной машине с этого момента.

Смирнов сослался на более раннее исследование фишинговых атак, проведенных Lazarus Group, в которых использовались те же имена файлов:

#DangerousPassword (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnk

www[.]googlesheet[.]info - пересекающаяся инфраструктура с твитом @h2jazis, а также с более ранними кампаниями.

d73e832c84c45c3faa9495b39833adb2
Новые корректировки заработной платы.pdf https://t.co/kDyGXvnFaz

- The Banshee Queen Strahdslayer (@cyberoverdrive) 21 июля 2022 г.

В 2022 году произошел всплеск взломов кросс-моста, о чем свидетельствует компания Chainalysis, занимающаяся анализом блокчейна. В этом году в результате 13 различных атак было похищено криптовалюты на сумму более 2 миллиардов долларов, что составляет почти 70% украденных средств. Больше всего пострадал мост Axie Infinitys Ronin - в марте 2022 года хакеры потеряли 612 миллионов долларов.

Источник