跨链协议和 Web3 公司继续成为黑客组织的目标,因为 deBridge Finance 解开了一个带有朝鲜 Lazarus Group 黑客特征的失败攻击。
周五下午,deBridge Finance 的员工收到了来自联合创始人 Alex Smirnov 的另一封看似普通的电子邮件。 一个标有“新工资调整”的附件势必会引起各种加密货币公司的兴趣 实施裁员和减薪 在正在进行的加密货币冬季。
少数员工将这封电子邮件及其附件标记为可疑,但一名员工上当并下载了 PDF 文件。 这将被证明是偶然的,因为 deBridge 团队致力于解开从一个旨在反映 Smirnov 的欺骗性电子邮件地址发送的攻击向量。
这位联合创始人在周五发布的一个冗长的 Twitter 帖子中深入研究了网络钓鱼攻击的复杂性,作为更广泛的加密货币和 Web3 社区的公共服务公告:
1/ @deBridgeFinance 一直是网络攻击未遂的目标,显然是由 Lazarus 组织发起的。
对于 Web3 中的所有团队的 PSA,此活动很可能会广泛传播。 pic.twitter.com/P5bxY46O6m
— 德亚历克斯(@AlexSmirnov__) 2022 年 8 月 5 日
Smirnov 的团队指出,该攻击不会感染 macOS 用户,因为尝试在 Mac 上打开链接会导致带有普通 PDF 文件 Adjustments.pdf 的 zip 存档。 然而,正如 Smirnov 解释的那样,基于 Windows 的系统存在风险:
“攻击向量如下:用户从电子邮件中打开链接,下载并打开存档,尝试打开 PDF,但 PDF 要求输入密码。 用户打开 password.txt.lnk 并感染整个系统。”
文本文件造成损坏,执行 cmd.exe 命令检查系统是否有防病毒软件。 如果系统没有受到保护,恶意文件将保存在自动启动文件夹中,并开始与攻击者通信以接收指令。
有关的: '没有人阻止他们”——朝鲜网络攻击威胁上升
deBridge 团队允许脚本接收指令,但取消了执行任何命令的能力。 这表明该代码收集了有关系统的大量信息并将其导出给攻击者。 在正常情况下,黑客将能够从此时开始在受感染的机器上运行代码。
斯米尔诺夫 链接 回到早期对 Lazarus Group 使用相同文件名进行的网络钓鱼攻击的研究:
#危险密码 (加密核心/加密模拟) #易于:
b52e3aaf1bd6e45d695db573abc886dc
密码.txt.lnkwww[.]googlesheet[.]info – 与基础设施重叠 @h2jazi的推文以及早期的活动。
d73e832c84c45c3faa9495b39833adb2
新的工资调整.pdf https://t.co/kDyGXvnFaz— 女妖女王 Strahdslayer (@cyberoverdrive) 2022 年 7 月 21 日
2022 年见证了 跨桥黑客攻击激增 正如区块链分析公司Chainalysis所强调的那样。 今年,价值超过 2 亿美元的加密货币在 13 次不同的攻击中被盗,占被盗资金的近 70%。 Axie Infinity 的 Ronin 桥是 迄今为止受灾最严重,在 612 年 2022 月向黑客损失了 XNUMX 亿美元。
资料来源:https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group