交叉链 小心 deBridge 标记网络钓鱼攻击未遂 怀疑 Lazarus Group
跨链协议和 Web3 公司继续成为黑客组织的目标,因为 deBridge Finance 解开了一个带有朝鲜 Lazarus Group 黑客特征的失败攻击。
周五下午,deBridge Finance 的员工收到了来自联合创始人 Alex Smirnov 的另一封看似普通的电子邮件。 一个标有“新工资调整”的附件必然会引起人们的兴趣,在持续的加密寒冬期间,各种加密货币公司实施了裁员和减薪措施。
少数员工将这封电子邮件及其附件标记为可疑,但一名员工上当并下载了 PDF 文件。 这将被证明是偶然的,因为 deBridge 团队致力于解开从一个旨在反映 Smirnov 的欺骗性电子邮件地址发送的攻击向量。
联合创始人在 8 月 5 日发布的冗长 Twitter 帖子中深入研究了网络钓鱼攻击的复杂性,作为更广泛的加密和 Web3 社区的公共服务公告:
1/ @deBridgeFinance 已成为网络攻击未遂的目标,显然是 Lazarus 组织发起的。
对于 Web3 中的所有团队的 PSA,此活动可能很普遍。 pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) 2022 年 8 月 5 日
Smirnov 的团队指出,该攻击不会感染 macOS 用户,因为尝试在 Mac 上打开链接会导致使用普通 PDF 文件 Adjustments.pdf 的 zip 存档。 然而,正如 Smirnov 解释的那样,基于 Windows 的系统存在风险:
“攻击向量如下:用户从电子邮件中打开链接,下载并打开存档,尝试打开 PDF,但 PDF 要求输入加密货币。 用户打开 password.txt.lnk 并感染整个系统。”
文本文件造成损坏,执行 cmd.exe 命令检查系统是否有防病毒软件。 如果系统没有受到保护,恶意文件将保存在自动启动文件夹中,并开始与攻击者通信以接收指令。
相关:“没有人阻止他们”——朝鲜网络攻击威胁上涨
deBridge 团队允许脚本接收指令,但取消了执行任何命令的能力。 这表明该代码收集了有关系统的大量信息并将其导出给攻击者。 在正常情况下,黑客将能够从此时开始在受感染的机器上运行代码。
Smirnov 链接回早期对 Lazarus Group 使用相同文件名进行的网络钓鱼攻击的研究:
#DangerousPassword (CryptoCore/CryptoMimic) #APT:b52e3aaf1bd6e45d695db573abc886dc加密货币.txt.lnk
万维网[.]谷歌表格[.]info – 与@h2jazi 的推文以及早期活动重叠的基础设施。
d73e832c84c45c3faa9495b39833adb2新工资调整.pdf https://t.co/kDyGXvnFaz
— 女妖女王 Strahdslayer (@cyberoverdrive) 2022 年 7 月 21 日
正如区块链分析公司 Chainalysis 所强调的那样,2022 年跨桥黑客事件大幅上涨。 今年,价值超过 20 亿美元的加密在 13 次不同的攻击中被盗,占被盗资金的近 70%。 迄今为止,Axie Infinity 的 Ronin 桥受到的打击最为严重——2022 年 3 月,黑客损失了 6.12 亿美元。