Chuỗi chéo, hãy cẩn thận! cờ deBridge đã cố gắng tấn công lừa đảo, nghi ngờ Lazarus Group

Các giao thức chuỗi chéo và các công ty Web3 tiếp tục là mục tiêu của các nhóm tin tặc khi deBridge Finance giải nén một cuộc tấn công thất bại mang dấu ấn của các tin tặc Tập đoàn Lazarus của Bắc Triều Tiên.

Các nhân viên của deBridge Finance đã nhận được một email trông giống như một email thông thường khác từ người đồng sáng lập Alex Smirnov vào một buổi chiều thứ Sáu. Tệp đính kèm có nhãn 'Điều chỉnh lương mới' chắc chắn sẽ thu hút sự quan tâm, với nhiềuCác công ty tiền điện tử tiến hành sa thải nhân viên và cắt giảm lương trong mùa đông tiền điện tử đang diễn ra.

Một số nhân viên đã đánh dấu email và tệp đính kèm của nó là đáng ngờ, nhưng một nhân viên đã cắn câu và tải xuống tệp PDF. Điều này chứng tỏ là ngẫu nhiên, vì nhóm deBridge đã làm việc để giải nén vectơ tấn công được gửi từ một địa chỉ email giả mạo được thiết kế để bắt chước địa chỉ của Smirnov.

Người đồng sáng lập đã tìm hiểu những điểm phức tạp của cuộc tấn công lừa đảo đã cố gắng trong một chủ đề dài trên Twitter được đăng vào ngày 5 tháng 8, hoạt động như một thông báo dịch vụ công cộng cho cộng đồng Web3 và tiền điện tử rộng lớn hơn:

1/@deBridgeFinance đã là đối tượng của một nỗ lực tấn công mạng, dường như là của nhóm Lazarus.

PSA cho tất cả các nhóm trong Web3, chiến dịch này có khả năng lan rộng.pic.twitter.com/P5bxY46O6m
- deAlex (@AlexSmirnov__)Ngày 5 tháng 8 năm 2022

Nhóm của Smirnov lưu ý rằng cuộc tấn công sẽ không lây nhiễm cho người dùng macOS, vì nỗ lực mở liên kết trên máy Mac dẫn đến kho lưu trữ zip với tệp PDF thông thường Adjustments.pdf. Tuy nhiên, các hệ thống dựa trên Windows có nguy cơ như Smirnov giải thích:

“Phương thức tấn công như sau: người dùng mở liên kết từ email, tải xuống & mở kho lưu trữ, cố gắng mở PDF, nhưng PDF yêu cầu mật khẩu. Người dùng mở password.txt.lnk và lây nhiễm toàn bộ hệ thống.”

Tệp văn bản gây ra thiệt hại, thực thi lệnh cmd.exe để kiểm tra hệ thống để tìm phần mềm chống vi-rút. Nếu hệ thống không được bảo vệ, tệp độc hại sẽ được lưu trong thư mục tự khởi động và bắt đầu giao tiếp với kẻ tấn công để nhận hướng dẫn.

Nhóm deBridge cho phép tập lệnh nhận hướng dẫn nhưng vô hiệu hóa khả năng thực thi bất kỳ lệnh nào. Điều này tiết lộ rằng đoạn mã này thu thập một loạt thông tin về hệ thống và xuất nó cho những kẻ tấn công. Trong những trường hợp bình thường, tin tặc có thể chạy mã trên máy bị nhiễm từ thời điểm này trở đi.

Smirnovliên kết quay lại nghiên cứu trước đó về các cuộc tấn công lừa đảo được thực hiện bởi Nhóm Lazarus sử dụng cùng tên tệp:

#Nguy hiểmMật khẩu (CryptoCore/CryptoMimic)#ĐÚNG CÁCH :
b52e3aaf1bd6e45d695db573abc886dc
Mật khẩu.txt.lnk

www[.]googlesheet[.]info - cơ sở hạ tầng chồng chéo với@h2jazi tweet của 'cũng như các chiến dịch trước đó.

d73e832c84c45c3faa9495b39833adb2
Điều Chỉnh Lương Mới.pdfhttps://t.co/kDyGXvnFaz
— Nữ hoàng Banshee Strahdslayer (@cyberoverdrive)Ngày 21 tháng 7 năm 2022

Năm 2022 đã chứng kiến sự gia tăng đột biến các vụ hack xuyên cầu khiđược đánh dấu bởi công ty phân tích chuỗi khối Chainalysis . Hơn 2 tỷ đô la tiền điện tử đã bị đánh cắp trong 13 cuộc tấn công khác nhau trong năm nay, chiếm gần 70% số tiền bị đánh cắp.Cây cầu Ronin của Axie Infinity bị ảnh hưởng nặng nề nhất cho đến nay - mất 612 triệu đô la cho tin tặc vào tháng 3 năm 2022.