โปรโตคอลข้ามสายโซ่และบริษัท Web3 ยังคงตกเป็นเป้าหมายของกลุ่มแฮ็กเกอร์ เนื่องจาก deBridge Finance เปิดเผยการโจมตีที่ล้มเหลวซึ่งมีลักษณะเด่นของแฮกเกอร์ Lazarus Group ของเกาหลีเหนือ
พนักงานของ deBridge Finance ได้รับอีเมลที่ดูเหมือนอีเมลธรรมดาอีกฉบับจากผู้ร่วมก่อตั้ง Alex Smirnov ในบ่ายวันศุกร์ เอกสารแนบที่ระบุว่า "การปรับเงินเดือนใหม่" ได้รับความสนใจจากบริษัทต่างๆ เลิกจ้างพนักงานและตัดเงินเดือน ในช่วงฤดูหนาว
พนักงานจำนวนหนึ่งแจ้งว่าอีเมลและไฟล์แนบนั้นน่าสงสัย แต่มีพนักงานคนหนึ่งใช้เหยื่อล่อและดาวน์โหลดไฟล์ PDF สิ่งนี้จะพิสูจน์ได้ว่าเป็นเรื่องบังเอิญ เนื่องจากทีม deBridge ได้ทำการแกะเวกเตอร์การโจมตีที่ส่งจากที่อยู่อีเมลปลอมที่ออกแบบมาเพื่อสะท้อนของ Smirnov
ผู้ร่วมก่อตั้งได้เจาะลึกถึงความซับซ้อนของการพยายามโจมตีด้วยฟิชชิ่งในกระทู้ Twitter ที่โพสต์เมื่อวันศุกร์ที่ผ่านมา โดยทำหน้าที่เป็นประกาศบริการสาธารณะสำหรับชุมชน cryptocurrency และ Web3 ในวงกว้าง:
1/ @deBridgeFinance ครับ เป็นเรื่องของการพยายามโจมตีทางไซเบอร์โดยกลุ่มลาซารัส
PSA สำหรับทุกทีมใน Web3 แคมเปญนี้น่าจะแพร่หลาย pic.twitter.com/P5bxY46O6m
— เดออเล็กซ์ (@AlexSmirnov__) สิงหาคม 5, 2022
ทีมงานของ Smirnov ตั้งข้อสังเกตว่าการโจมตีดังกล่าวจะไม่ส่งผลกระทบต่อผู้ใช้ macOS เนื่องจากความพยายามที่จะเปิดลิงก์บน Mac จะนำไปสู่การเก็บไฟล์ zip ด้วยไฟล์ PDF Adjustments.pdf ปกติ อย่างไรก็ตาม ระบบที่ใช้ Windows มีความเสี่ยงตามที่ Smirnov อธิบาย:
“เวกเตอร์การโจมตีมีดังนี้: ผู้ใช้เปิดลิงก์จากอีเมล ดาวน์โหลด & เปิดไฟล์เก็บถาวร พยายามเปิด PDF แต่ PDF ขอรหัสผ่าน ผู้ใช้เปิด password.txt.lnk และติดไวรัสทั้งระบบ”
ไฟล์ข้อความสร้างความเสียหาย โดยดำเนินการคำสั่ง cmd.exe ซึ่งจะตรวจสอบระบบสำหรับซอฟต์แวร์ป้องกันไวรัส หากระบบไม่ได้รับการปกป้อง ไฟล์ที่เป็นอันตรายจะถูกบันทึกไว้ในโฟลเดอร์ autostart และเริ่มสื่อสารกับผู้โจมตีเพื่อรับคำแนะนำ
ที่เกี่ยวข้อง: 'ไม่มีใครรั้งพวกเขาไว้' — ภัยคุกคามจากการโจมตีทางไซเบอร์ของเกาหลีเหนือเพิ่มขึ้น
ทีมงาน deBridge อนุญาตให้สคริปต์รับคำสั่งแต่ทำให้ไม่สามารถดำเนินการคำสั่งใดๆ ได้ สิ่งนี้เผยให้เห็นว่ารหัสรวบรวมข้อมูลเกี่ยวกับระบบจำนวนหนึ่งและส่งออกไปยังผู้โจมตี ภายใต้สถานการณ์ปกติ แฮกเกอร์จะสามารถเรียกใช้โค้ดบนเครื่องที่ติดไวรัสได้ตั้งแต่บัดนี้เป็นต้นไป
นอฟ ที่เชื่อมโยง กลับไปที่การวิจัยก่อนหน้านี้เกี่ยวกับการโจมตีแบบฟิชชิ่งที่ดำเนินการโดย Lazarus Group ซึ่งใช้ชื่อไฟล์เดียวกัน:
#รหัสผ่านอันตราย (CryptoCore/CryptoMimic) #อพท:
b52e3aaf1bd6e45d695db573abc886dc
รหัสผ่าน.txt.lnkwww[.]googlesheet[.]info – โครงสร้างพื้นฐานที่ทับซ้อนกันกับ @h2jaziทวีตของเช่นเดียวกับแคมเปญก่อนหน้านี้
d73e832c84c45c3faa9495b39833adb2
การปรับเงินเดือนใหม่.pdf https://t.co/kDyGXvnFaz- ราชินีแบนชี Strahdslayer (@cyberoverdrive) กรกฎาคม 21, 2022
2022 ได้เห็น a การแฮ็กข้ามสะพานพุ่งสูงขึ้น โดยเน้นโดย Chainalysis บริษัทวิเคราะห์บล็อคเชน Cryptocurrency มูลค่ากว่า 2 พันล้านดอลลาร์ ถูกโจมตี 13 ครั้งในปีนี้ คิดเป็นเกือบ 70% ของเงินที่ถูกขโมยไป สะพาน Ronin ของ Axie Infinity เป็น โดนหนักสุดตอนนี้สูญเสียแฮ็กเกอร์ไป 612 ล้านดอลลาร์ในเดือนมีนาคม 2022
ที่มา: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group