عبر السلاسل ، احذر! أعلام دي بريدج حاولت هجوم تصيد ، وتشتبه في مجموعة لازاروس

تواصل مجموعات القرصنة استهداف البروتوكولات عبر السلاسل وشركات Web3 بينما تفكك شركة deBridge Finance هجومًا فاشلاً يحمل بصمات قراصنة مجموعة Lazarus Group في كوريا الشمالية.

تلقى موظفو deBridge Finance ما يشبه بريدًا إلكترونيًا عاديًا آخر من الشريك المؤسس أليكس سميرنوف بعد ظهر يوم الجمعة. كان من الضروري أن يثير المرفق المسمى "تعديلات الراتب الجديدة" الاهتمام ، بمختلفشركات العملات المشفرة تسريح الموظفين وتخفيضات في الأجور خلال فصل الشتاء المستمر للعملات المشفرة.

قام عدد قليل من الموظفين بوضع علامة على البريد الإلكتروني ومرفقه على أنهما مريبان ، لكن أحد الموظفين أخذ الطُعم وقام بتنزيل ملف PDF. سيكون هذا أمرًا محظوظًا ، حيث عمل فريق deBridge على تفريغ ناقل الهجوم المرسل من عنوان بريد إلكتروني مخادع مصمم ليعكس عنوان Smirnov.

شارك المؤسسون في تعقيدات محاولة هجوم التصيد الاحتيالي في سلسلة تغريدات مطولة على Twitter نُشرت في 5 أغسطس ، بمثابة إعلان خدمة عامة لمجتمع العملة المشفرة و Web3 الأوسع:

1 /تضمين التغريدة كان موضوع محاولة هجوم إلكتروني ، على ما يبدو من قبل مجموعة لازاروس.

PSA لجميع الفرق في Web3 ، هذه الحملة على الأرجح منتشرة على نطاق واسع.pic.twitter.com/P5bxY46O6m
- دي أليكس (AlexSmirnov__)5 أغسطس 2022

لاحظ فريق سميرنوف أن الهجوم لن يصيب مستخدمي macOS ، حيث تؤدي محاولات فتح الرابط على جهاز Mac إلى أرشيف مضغوط باستخدام ملف PDF العادي Adjustments.pdf. ومع ذلك ، فإن الأنظمة التي تعمل بنظام Windows معرضة للخطر كما أوضح سميرنوف:

"موجه الهجوم كما يلي: يفتح المستخدم رابطًا من البريد الإلكتروني والتنزيلات & amp؛ يفتح الأرشيف ، ويحاول فتح PDF ، لكن PDF يطلب كلمة مرور. يفتح المستخدم password.txt.lnk ويصيب النظام بأكمله. "

يتسبب الملف النصي في الضرر ، حيث يقوم بتنفيذ أمر cmd.exe الذي يفحص النظام بحثًا عن برنامج مكافحة الفيروسات. إذا لم يكن النظام محميًا ، فسيتم حفظ الملف الضار في مجلد التشغيل التلقائي ويبدأ في الاتصال بالمهاجم لتلقي التعليمات.

سمح فريق deBridge للسيناريو بتلقي التعليمات ولكنه أبطل القدرة على تنفيذ أي أوامر. كشف هذا أن الكود يجمع مجموعة كبيرة من المعلومات حول النظام ويصدرها إلى المهاجمين. في ظل الظروف العادية ، سيتمكن المتسللون من تشغيل التعليمات البرمجية على الجهاز المصاب من هذه النقطة فصاعدًا.

سميرنوفمرتبط عودة إلى الأبحاث السابقة حول هجمات التصيد الاحتيالي التي نفذتها مجموعة لازاروس والتي استخدمت أسماء الملفات نفسها:

#DangerousPassword (CryptoCore / CryptoMimic)#ملائم :
b52e3aaf1bd6e45d695db573abc886dc
كلمة المرور. txt.lnk

www [.] googlesheet [.] info - تداخل البنية التحتية مع@h2jazi & # x27 ؛ s tweet وكذلك الحملات السابقة.

d73e832c84c45c3faa9495b39833adb2
تعديلات الراتب الجديدة. pdfhttps://t.co/kDyGXvnFaz
- The Banshee Queen Strahdslayer (cyberoverdrive)21 يوليو 2022

شهد عام 2022 ارتفاعًا في عمليات الاختراق عبر الجسور مثلأبرزتها شركة تحليل blockchain Chainalysis . تم سرقة أكثر من 2 مليار دولار من العملات المشفرة في 13 هجومًا مختلفًا هذا العام ، وهو ما يمثل ما يقرب من 70 ٪ من الأموال المسروقة.كان جسر رونين Axie Infinity الأكثر تضررًا حتى الآن - خسارة 612 مليون دولار للقراصنة في مارس 2022.