«Lazarus Group», печально известный хакерский синдикат, поддерживаемый Северной Кореей, был признан виновником попытки кибератаки на deBridge Finance. Соучредитель межсетевого протокола и руководитель проекта Алекс Смирнов утверждал, что вектор атаки был через электронную почту, в которой несколько членов команды получили PDF-файл под названием «Новые корректировки заработной платы» с поддельного адреса, который отражал собственный адрес руководителя.
Хотя deBridge Finance удалось предотвратить фишинговую атаку, Смирнов предупредил, что мошенническая кампания, вероятно, широко распространена и нацелена на платформы, ориентированные на Web3.
Попытка атаки на деБридж
Согласно длинному твиттеру нить по словам руководителя, большинство членов команды немедленно пометили подозрительное письмо, но один загрузил и открыл файл. Это помогло им исследовать вектор атаки и понять ее последствия.
Далее Смирнов пояснил, что пользователи macOS в безопасности, поскольку открытие ссылки на Mac приведет к созданию zip-архива с обычным PDF-файлом Adjustments.pdf. С другой стороны, системы Windows не застрахованы от опасностей. Вместо этого пользователи Windows будут перенаправлены на архив с сомнительным защищенным паролем pdf с тем же именем и дополнительным файлом с именем Password.txt.lnk.
Текстовый файл по существу заразил бы систему. Таким образом, отсутствие антивирусного программного обеспечения поможет вредоносному файлу проникнуть на машину и сохранится в папке автозапуска, после чего простой скрипт начнет отправлять повторяющиеся запросы на связь со злоумышленником для получения инструкций.
«Вектор атаки следующий: пользователь открывает ссылку из электронной почты -> скачивает и открывает архив -> пытается открыть PDF, но PDF запрашивает пароль -> пользователь открывает password.txt.lnk и заражает всю систему».
Затем соучредитель призвал фирмы и их сотрудников никогда не открывать вложения электронной почты, не проверив полный адрес электронной почты отправителя, и иметь внутренний протокол для того, как команды обмениваются вложениями.
«Пожалуйста, оставайтесь в SAFU и поделитесь этой веткой, чтобы все знали о потенциальных атаках».
Злоумышленники Lazarus нацелены на криптовалюту
Северокорейские хакерские группы, спонсируемые государством, печально известны своими финансово мотивированными атаками. Lazarus, например, провел множество громких атак на криптовалютные биржи, торговые площадки NFT и отдельных инвесторов со значительными активами. Последняя атака, по-видимому, имеет значительное сходство с предыдущими атаками, проведенными хакерским синдикатом.
На фоне вспышки COVID-19 киберпреступления во главе с Лазарем видел массивный восходящий тренд. Совсем недавно в начале этого года группа украла более 620 миллионов долларов с моста Ronin компании Axie Infinity.
На самом деле отчеты также показывать что киберпрограмма страны большая и хорошо организованная, несмотря на то, что она экономически изолирована от остального мира. Согласно многочисленным источникам в правительстве США, эти организации также адаптировались к Web3 и в настоящее время нацелены на пространство децентрализованных финансов.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/notorious-lazarus-group-attempted-cyber-attack-alleges-debridge-co-founder/