ჯვარედინი ჯაჭვის პროტოკოლები და Web3 ფირმები კვლავაც არიან ჰაკერული ჯგუფების სამიზნე, რადგან deBridge Finance ხსნის წარუმატებელ შეტევას, რომელიც ატარებს ჩრდილოეთ კორეის Lazarus Group-ის ჰაკერების ნიშანს.
deBridge Finance-ის თანამშრომლებმა პარასკევს შუადღისას მიიღეს ის, რაც სხვა ჩვეულებრივ ელ.წერილს ჰგავდა თანადამფუძნებელი ალექს სმირნოვისგან. დანართი, სახელწოდებით „ხელფასის ახალი კორექტირება“, კრიპტოვალუტის სხვადასხვა ფირმების მიმართ ინტერესს გამოიწვევდა. პერსონალის გათავისუფლების და ხელფასების შემცირების დაწესება მიმდინარე კრიპტოვალუტის ზამთრის პერიოდში.
რამდენიმე თანამშრომელმა მიანიშნა ელფოსტა და მისი მიმაგრება, როგორც საეჭვო, მაგრამ ერთ-ერთმა თანამშრომელმა აიღო სატყუარა და ჩამოტვირთა PDF ფაილი. ეს შემთხვევითი იქნებოდა, რადგან deBridge-ის გუნდი მუშაობდა შეტევის ვექტორის ამოხსნაზე, რომელიც გაგზავნილი იყო ყალბი ელექტრონული ფოსტის მისამართიდან, რომელიც შექმნილია სმირნოვის მისამართის ასახვის მიზნით.
პარასკევს გამოქვეყნებულ Twitter-ის ვრცელ თემაში, თანადამფუძნებელი ჩაუღრმავდა ფიშინგის მცდელობის სირთულეებს, რომელიც მოქმედებს როგორც საჯარო სერვისის განცხადება ფართო კრიპტოვალუტისა და Web3 საზოგადოებისთვის:
1/ @deBridgeFinance იყო კიბერშეტევის მცდელობის საგანი, როგორც ჩანს, ლაზარეს ჯგუფის მიერ.
PSA Web3-ის ყველა გუნდისთვის, ეს კამპანია სავარაუდოდ ფართოდ არის გავრცელებული. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) 5 წლის 2022 აგვისტო
სმირნოვის გუნდმა აღნიშნა, რომ შეტევა არ დააინფიცირებს macOS-ის მომხმარებლებს, რადგან Mac-ზე ბმულის გახსნის მცდელობა იწვევს zip არქივს ჩვეულებრივი PDF ფაილით Adjustments.pdf. თუმცა, ვინდოუსზე დაფუძნებული სისტემები რისკის ქვეშ არიან, როგორც სმირნოვმა განმარტა:
„შეტევის ვექტორი ასეთია: მომხმარებელი ხსნის ბმულს ელექტრონული ფოსტიდან, ჩამოტვირთავს და ხსნის არქივს, ცდილობს PDF გახსნას, მაგრამ PDF ითხოვს პაროლს. მომხმარებელი ხსნის password.txt.lnk და აინფიცირებს მთელ სისტემას.
ტექსტური ფაილი ზიანს აყენებს, ასრულებს cmd.exe ბრძანებას, რომელიც ამოწმებს სისტემას ანტივირუსული პროგრამისთვის. თუ სისტემა არ არის დაცული, მავნე ფაილი ინახება ავტოსტარტის საქაღალდეში და იწყებს კომუნიკაციას თავდამსხმელთან ინსტრუქციების მისაღებად.
დაკავშირებული: 'მათ არავინ აკავებს“ - ჩრდილოეთ კორეის კიბერშეტევის საფრთხე იზრდება
deBridge-ის გუნდმა ნება დართო სკრიპტს მიეღო ინსტრუქციები, მაგრამ გააუქმა ნებისმიერი ბრძანების შესრულების შესაძლებლობა. ამან გამოავლინა, რომ კოდი აგროვებს სისტემის შესახებ ინფორმაციას და ექსპორტს ახორციელებს თავდამსხმელებისთვის. ნორმალურ პირობებში, ჰაკერებს შეეძლებათ კოდის გაშვება ინფიცირებულ აპარატზე ამ მომენტიდან მოყოლებული.
სმირნოვი უკავშირდება დავუბრუნდეთ Lazarus Group-ის მიერ განხორციელებულ ფიშინგ შეტევებს, რომლებიც იყენებდნენ ფაილის იგივე სახელებს:
#საშიში პაროლი (CryptoCore/CryptoMimimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – ინფრასტრუქტურის გადახურვა @h2jazi-ის ტვიტი, ისევე როგორც ადრინდელი კამპანიები.
d73e832c84c45c3faa9495b39833adb2
ხელფასის ახალი კორექტირება.pdf https://t.co/kDyGXvnFaz- Banshee Queen Strahdslayer (@cyberoverdrive) ივლისი 21, 2022
2022 ნახა ა ხიდის კვეთების ზრდა როგორც ხაზი გაუსვა ბლოკჩეინის ანალიზის ფირმა Chainalysis-ს. მიმდინარე წელს 2 მილიარდ დოლარზე მეტი ღირებულების კრიპტოვალუტა განადგურდა 13 სხვადასხვა თავდასხმის შედეგად, რაც მოპარული სახსრების თითქმის 70%-ს შეადგენს. Axie Infinity-ის რონინის ხიდი იყო ყველაზე ცუდი დარტყმა აქამდე612 წლის მარტში ჰაკერებმა $2022 მილიონი დაკარგა.
წყარო: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group