宁推网-元宇宙资讯

交叉链 小心 deBridge 标记网络钓鱼攻击未遂 怀疑 Lazarus Group

跨链协议和 Web3 公司继续成为黑客组织的目标,因为 deBridge Finance 解开了一个带有朝鲜 Lazarus Group 黑客特征的失败攻击。

周五下午,deBridge Finance 的员工收到了来自联合创始人 Alex Smirnov 的另一封看似普通的电子邮件。 一个标有“新工资调整”的附件必然会引起人们的兴趣,在持续的加密寒冬期间,各种加密货币公司实施了裁员和减薪措施。

少数员工将这封电子邮件及其附件标记为可疑,但一名员工上当并下载了 PDF 文件。 这将被证明是偶然的,因为 deBridge 团队致力于解开从一个旨在反映 Smirnov 的欺骗性电子邮件地址发送的攻击向量。

联合创始人在 8 月 5 日发布的冗长 Twitter 帖子中深入研究了网络钓鱼攻击的复杂性,作为更广泛的加密和 Web3 社区的公共服务公告:

1/ @deBridgeFinance 已成为网络攻击未遂的目标,显然是 Lazarus 组织发起的。

对于 Web3 中的所有团队的 PSA,此活动可能很普遍。 pic.twitter.com/P5bxY46O6m

— deAlex (@AlexSmirnov__) 2022 年 8 月 5 日

Smirnov 的团队指出,该攻击不会感染 macOS 用户,因为尝试在 Mac 上打开链接会导致使用普通 PDF 文件 Adjustments.pdf 的 zip 存档。 然而,正如 Smirnov 解释的那样,基于 Windows 的系统存在风险:

“攻击向量如下:用户从电子邮件中打开链接,下载并打开存档,尝试打开 PDF,但 PDF 要求输入加密货币。 用户打开 password.txt.lnk 并感染整个系统。”

文本文件造成损坏,执行 cmd.exe 命令检查系统是否有防病毒软件。 如果系统没有受到保护,恶意文件将保存在自动启动文件夹中,并开始与攻击者通信以接收指令。

相关:“没有人阻止他们”——朝鲜网络攻击威胁上涨

deBridge 团队允许脚本接收指令,但取消了执行任何命令的能力。 这表明该代码收集了有关系统的大量信息并将其导出给攻击者。 在正常情况下,黑客将能够从此时开始在受感染的机器上运行代码。

Smirnov 链接回早期对 Lazarus Group 使用相同文件名进行的网络钓鱼攻击的研究:

#DangerousPassword (CryptoCore/CryptoMimic) #APT:b52e3aaf1bd6e45d695db573abc886dc加密货币.txt.lnk

万维网[.]谷歌表格[.]info – 与@h2jazi 的推文以及早期活动重叠的基础设施。

d73e832c84c45c3faa9495b39833adb2新工资调整.pdf https://t.co/kDyGXvnFaz

— 女妖女王 Strahdslayer (@cyberoverdrive) 2022 年 7 月 21 日

正如区块链分析公司 Chainalysis 所强调的那样,2022 年跨桥黑客事件大幅上涨。 今年,价值超过 20 亿美元的加密在 13 次不同的攻击中被盗,占被盗资金的近 70%。 迄今为止,Axie Infinity 的 Ronin 桥受到的打击最为严重——2022 年 3 月,黑客损失了 6.12 亿美元。

1、宁推网原创文章未经授权转载必究,如需转载请联系授权;
2、转载时须在文章头部明确注明出处、保留作者和原文链接,如:转自宁推网字样;
3、宁推网报道中所涉及的所有内容均由用户提供,仅供参考!
4、声明:该文观点仅代表作者本人,宁推网系信息发布平台,宁推网仅提供信息存储空间服务。