پروتکلهای زنجیرهای متقابل و شرکتهای Web3 همچنان مورد هدف گروههای هکر قرار میگیرند، زیرا deBridge Finance یک حمله ناموفق را که نشانههای هکرهای گروه لازاروس کره شمالی را در خود دارد، باز میکند.
کارمندان deBridge Finance در بعدازظهر جمعه چیزی شبیه ایمیل معمولی دیگر از بنیانگذار الکس اسمیرنوف دریافت کردند. پیوستی با عنوان «تعدیلهای حقوق و دستمزد جدید» با شرکتهای مختلف ارزهای دیجیتال مورد توجه قرار گرفت. اخراج کارکنان و کاهش حقوق در طول زمستان جاری ارزهای دیجیتال.
تعدادی از کارمندان ایمیل و پیوست آن را مشکوک علامت گذاری کردند، اما یکی از کارکنان طعمه را برداشت و فایل PDF را دانلود کرد. این امری اتفاقی خواهد بود، زیرا تیم deBridge روی باز کردن بسته حمله ارسال شده از یک آدرس ایمیل جعلی طراحی شده برای منعکس کردن آدرس اسمیرنوف کار می کرد.
یکی از بنیانگذاران در یک تاپیک طولانی در توییتر که در روز جمعه منتشر شد، پیچیدگیهای حمله فیشینگ را بررسی کرد و به عنوان یک اطلاعیه خدمات عمومی برای جامعه گستردهتر ارزهای دیجیتال و Web3 عمل کرد:
1/ @deBridgeFinance ظاهراً توسط گروه لازاروس هدف یک حمله سایبری قرار گرفته است.
PSA برای همه تیم های Web3، این کمپین احتمالاً گسترده است. pic.twitter.com/P5bxY46O6m
- deAlex (@AlexSmirnov__) اوت 5، 2022
تیم اسمیرنوف خاطرنشان کرد که این حمله کاربران macOS را آلوده نمی کند، زیرا تلاش برای باز کردن پیوند در مک منجر به یک آرشیو فشرده با فایل PDF معمولی Adjustments.pdf می شود. با این حال، همانطور که اسمیرنوف توضیح داد، سیستم های مبتنی بر ویندوز در معرض خطر هستند:
"بردار حمله به شرح زیر است: کاربر پیوند را از ایمیل باز می کند، بایگانی را بارگیری می کند و بایگانی را باز می کند، سعی می کند PDF را باز کند، اما PDF یک رمز عبور می خواهد. کاربر password.txt.lnk را باز می کند و کل سیستم را آلوده می کند.
فایل متنی با اجرای یک دستور cmd.exe که سیستم را برای نرم افزار ضد ویروس بررسی می کند، آسیب وارد می کند. اگر سیستم محافظت نشده باشد، فایل مخرب در پوشه autostart ذخیره می شود و شروع به برقراری ارتباط با مهاجم برای دریافت دستورالعمل می کند.
مربوط: 'هیچ کس جلوی آنها را نمی گیرد.» - تهدید حمله سایبری کره شمالی افزایش می یابد
تیم deBridge به اسکریپت اجازه دریافت دستورالعملها را داد اما توانایی اجرای هر دستوری را باطل کرد. این نشان داد که این کد مجموعه ای از اطلاعات مربوط به سیستم را جمع آوری می کند و آن را به مهاجمان صادر می کند. در شرایط عادی، هکرها میتوانند از این مرحله به بعد کد را روی دستگاه آلوده اجرا کنند.
اسمیرنوف مرتبط بازگشت به تحقیقات قبلی در مورد حملات فیشینگ انجام شده توسط Lazarus Group که از همان نام فایل استفاده می کرد:
#رمز عبور خطرناک (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]اطلاعات – زیرساخت های همپوشانی با @h2jaziتوییت و همچنین کمپین های قبلی.
d73e832c84c45c3faa9495b39833adb2
تعدیل حقوق جدید.pdf https://t.co/kDyGXvnFaz- Banshee Queen Strahdslayer (@cyberoverdrive) ژوئیه 21، 2022
2022 دیده شده است افزایش هک های کراس پل همانطور که توسط شرکت تجزیه و تحلیل بلاک چین Chainalysis برجسته شده است. بیش از 2 میلیارد دلار ارز دیجیتال در 13 حمله مختلف در سال جاری حذف شده است که تقریباً 70 درصد از وجوه سرقت شده را تشکیل می دهد. پل رونین Axie Infinity است بدترین ضربه تا کنون612 میلیون دلار از دست هکرها در مارس 2022.
منبع: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group