deBridge Finance が北朝鮮の Lazarus Group ハッカーの特徴を備えた失敗した攻撃を明らかにする中、クロスチェーン プロトコルと Web3 企業はハッキング グループの標的になり続けています。
deBridge Finance の従業員は、金曜日の午後、共同創業者の Alex Smirnov から、通常のメールのように見えるものを受け取りました。 「新しい給与調整」とラベル付けされた添付ファイルは、さまざまな暗号通貨会社の関心を引くに違いありませんでした スタッフのレイオフと給与カットの導入 進行中の暗号通貨の冬の間。
少数の従業員が電子メールとその添付ファイルに疑わしいフラグを立てましたが、XNUMX 人の従業員が餌を取り、PDF ファイルをダウンロードしました。 deBridge チームは、Smirnov のものを模倣するように設計されたスプーフィング メール アドレスから送信された攻撃ベクトルの解凍に取り組んでいたため、これは偶然であることがわかります。
共同創設者は、金曜日に投稿された長い Twitter スレッドでフィッシング攻撃の試みの複雑さを掘り下げ、より広い暗号通貨と Web3 コミュニティのための公共サービスの発表として機能しました。
1/ @deBridgeFinance は、明らかに Lazarus グループによるサイバー攻撃の対象となっています。
Web3 のすべてのチームの PSA、このキャンペーンは広まる可能性があります。 pic.twitter.com/P5bxY46O6m
— デアレックス (@AlexSmirnov__) 2022 年 8 月 5 日
Smirnov のチームは、Mac でリンクを開こうとすると、通常の PDF ファイル Adjustments.pdf を含む zip アーカイブにつながるため、この攻撃が macOS ユーザーに感染することはないと指摘しました。 ただし、Smirnov 氏が説明したように、Windows ベースのシステムは危険にさらされています。
「攻撃ベクトルは次のとおりです。ユーザーは電子メールからリンクを開き、アーカイブをダウンロードして開き、PDF を開こうとしますが、PDF はパスワードを要求します。 ユーザーが password.txt.lnk を開き、システム全体に感染します。」
このテキスト ファイルは、システムのウイルス対策ソフトウェアをチェックする cmd.exe コマンドを実行して損害を与えます。 システムが保護されていない場合、悪意のあるファイルは autostart フォルダーに保存され、攻撃者との通信を開始して指示を受け取ります。
関連している: '誰も彼らを止めていない」 — 北朝鮮のサイバー攻撃の脅威が高まる
deBridge チームは、スクリプトが命令を受け取ることを許可しましたが、コマンドを実行する機能を無効にしました。 これにより、このコードがシステムに関する一連の情報を収集し、それを攻撃者にエクスポートしていることが明らかになりました。 通常の状況では、ハッカーはこの時点から感染したマシンでコードを実行できます。
スミルノフ リンク 同じファイル名を使用して Lazarus Group によって実行されたフィッシング攻撃に関する以前の調査に戻ります。
#危険なパスワード (クリプトコア/クリプトミミック) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
パスワード.txt.lnkwww[.]googlesheet[.]info – 重複するインフラストラクチャ @ h2jaziさんのツイートは、これまでのキャンペーンと同様。
d73e832c84c45c3faa9495b39833adb2
新しい給与調整.pdf https://t.co/kDyGXvnFaz— The Banshee Queen Strahdslayer (@cyberoverdrive) 2022年7月11日
2022 年は クロスブリッジのハッキングが急増 ブロックチェーン分析会社 Chainalysis が強調しているように。 今年は 2 件の異なる攻撃で 13 億ドル以上の仮想通貨が流出し、盗まれた資金の 70% 近くを占めています。 Axie Infinity の Ronin ブリッジは、 今までで最悪の打撃、612 年 2022 月にハッカーに XNUMX 億 XNUMX 万ドルを失いました。
ソース: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group