«Lazarus Group», печально известный хакерский синдикат, поддерживаемый Северной Кореей, был признан виновником попытки кибератаки на deBridge Finance. Соучредитель межсетевого протокола и руководитель проекта Алекс Смирнов утверждал, что вектор атаки был через электронную почту, в которой несколько членов команды получили PDF-файл под названием «Новые корректировки заработной платы» с поддельного адреса, который отражал собственный адрес руководителя.
Хотя deBridge Finance удалось предотвратить фишинговую атаку, Смирнов предупредил, что мошенническая кампания, вероятно, широко распространена и нацелена на платформы, ориентированные на Web3.
Попытка атаки на деБридж
Согласно длинной ветке руководителя в Твиттере, большинство членов команды сразу же отметили подозрительное письмо, но один загрузил и открыл файл. Это помогло им исследовать вектор атаки и понять ее последствия.
Далее Смирнов пояснил, что пользователи macOS в безопасности, поскольку открытие ссылки на Mac приведет к созданию zip-архива с обычным PDF-файлом Adjustments.pdf. С другой стороны, системы Windows не застрахованы от опасностей. Вместо этого пользователи Windows будут перенаправлены в архив с сомнительным защищенным паролем pdf с тем же именем и дополнительным файлом с именем Password.txt.lnk.
Текстовый файл по существу заразил бы систему. Таким образом, отсутствие антивирусного программного обеспечения поможет вредоносному файлу проникнуть на машину и сохранится в папке автозапуска, после чего простой скрипт начнет отправлять повторяющиеся запросы на связь со злоумышленником для получения инструкций.
«Вектор атаки следующий: пользователь открывает ссылку из электронной почты -> скачивает и открывает архив -> пытается открыть PDF, но PDF запрашивает пароль -> пользователь открывает password.txt.lnk и заражает всю систему».
Затем соучредитель призвал фирмы и их сотрудников никогда не открывать вложения электронной почты, не проверив полный адрес электронной почты отправителя, и иметь внутренний протокол для того, как команды обмениваются вложениями.
«Пожалуйста, оставайтесь в SAFU и поделитесь этой веткой, чтобы все знали о потенциальных атаках».
Злоумышленники Lazarus нацелены на криптовалюту
Северокорейские хакерские группы, спонсируемые государством, печально известны своими финансово мотивированными атаками. Lazarus, например, провел множество громких атак на криптовалютные биржи, торговые площадки NFT и отдельных инвесторов со значительными активами. Последняя атака, по-видимому, имеет значительное сходство с предыдущими атаками, проведенными хакерским синдикатом.
На фоне вспышки COVID-19 киберпреступления во главе с Лазарем резко возросли. Совсем недавно в начале этого года группа украла более 620 миллионов долларов с моста Ronin компании Axie Infinity.
Фактически, отчеты также показывают, что киберпрограмма страны является большой и хорошо организованной, несмотря на то, что она экономически изолирована от остального мира. Согласно многочисленным источникам в правительстве США, эти организации также адаптировались к Web3 и в настоящее время нацелены на пространство децентрализованных финансов.
