פרוטוקולים צולבים שרשרת וחברות Web3 ממשיכות להיות ממוקדות על ידי קבוצות פריצה, כאשר deBridge Finance פורקת מתקפה כושלת הנושאת את סימני ההיכר של ההאקרים של קבוצת Lazarus בצפון קוריאה.
עובדי deBridge Finance קיבלו מה שנראה כמו עוד מייל רגיל מהמייסד השותף אלכס סמירנוב ביום שישי אחר הצהריים. קובץ מצורף שכותרתו "התאמות שכר חדשות" היה חייב לעורר עניין, אצל חברות קריפטו שונות הפעלת פיטורי עובדים וקיצוץ בשכר במהלך החורף המתמשך של מטבעות קריפטוגרפיים.
קומץ עובדים סימנו את האימייל ואת המצורף שלו כחשודים, אך איש צוות אחד לקח את הפיתיון והוריד את קובץ ה-PDF. זה יתברר כמקרי, מכיוון שצוות deBridge עבד על פירוק וקטור ההתקפה שנשלח מכתובת אימייל מזויפת שנועדה לשקף את זה של סמירנוב.
המייסד השותף התעמק בנבכי ניסיון התקפת הדיוג בשרשור ארוך בטוויטר שפורסם ביום שישי, ופעל כהודעת שירות לציבור לקהילת המטבעות הקריפטוגרפיים וה-Web3 הרחבה יותר:
1/ @deBridgeFinance היה נושא לניסיון מתקפת סייבר, ככל הנראה על ידי קבוצת לזרוס.
PSA לכל הצוותים ב-Web3, סביר להניח שהקמפיין הזה נפוץ. pic.twitter.com/P5bxY46O6m
- deAlex (@AlexSmirnov__) אוגוסט
הצוות של סמירנוב ציין כי המתקפה לא תדביק משתמשי macOS, שכן ניסיונות לפתוח את הקישור ב-Mac מובילים לארכיון zip עם קובץ ה-PDF הרגיל Adjustments.pdf. עם זאת, מערכות מבוססות Windows נמצאות בסיכון כפי שהסביר סמירנוב:
"וקטור ההתקפה הוא כדלקמן: המשתמש פותח קישור ממייל, מוריד ופותח ארכיון, מנסה לפתוח PDF, אבל PDF מבקש סיסמה. המשתמש פותח את password.txt.lnk ומדביק את כל המערכת."
קובץ הטקסט עושה את הנזק, מבצע פקודת cmd.exe אשר בודקת את המערכת עבור תוכנת אנטי וירוס. אם המערכת אינה מוגנת, הקובץ הזדוני נשמר בתיקיית ההפעלה האוטומטית ומתחיל לתקשר עם התוקף כדי לקבל הוראות.
קשור:'אף אחד לא מעכב אותם' - איום מתקפת סייבר בצפון קוריאה עולה
צוות deBridge אפשר לסקריפט לקבל הוראות אך ביטל את היכולת לבצע פקודות כלשהן. זה חשף כי הקוד אוסף חלק של מידע על המערכת ומייצא אותו לתוקפים. בנסיבות רגילות, ההאקרים יוכלו להריץ קוד על המחשב הנגוע מנקודה זו ואילך.
סמירנוב צמוד בחזרה למחקר קודם על התקפות דיוג שבוצעו על ידי קבוצת Lazarus שהשתמשו באותם שמות קבצים:
#סיסמה מסוכנת (CryptoCore/CryptoMimic) #מַתְאִים:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info - תשתית חופפת עם @h2jaziהציוץ של כמו גם מסעות פרסום קודמים.
d73e832c84c45c3faa9495b39833adb2
התאמות שכר חדשות. pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) 21 ביולי 2022
2022 ראתה א עלייה בפריצות חוצות גשרים כפי שהודגשה על ידי חברת ניתוח הבלוקצ'יין Chainalysis. מטבעות קריפטוגרפיים בשווי של למעלה מ-2 מיליארד דולר הוצאו ב-13 התקפות שונות השנה, המהווים כמעט 70% מהכספים הגנובים. גשר רונין של Axie Infinity היה ה- הפגיעה הקשה ביותר עד כה, שהפסיד 612 מיליון דולר להאקרים במרץ 2022.
מקור: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group