Cross-chain-protocollen en Web3-bedrijven worden nog steeds het doelwit van hackgroepen, terwijl deBridge Finance een mislukte aanval uitpakt die de kenmerken van de Noord-Koreaanse Lazarus Group-hackers draagt.
deBridge Finance-medewerkers ontvingen op een vrijdagmiddag wat leek op een andere gewone e-mail van mede-oprichter Alex Smirnov. Een bijlage met het label "Nieuwe salarisaanpassingen" zou ongetwijfeld interesse wekken bij verschillende cryptocurrency-bedrijven het instellen van personeelsontslagen en loonsverlagingen tijdens de aanhoudende cryptocurrency-winter.
Een handvol medewerkers markeerde de e-mail en de bijlage als verdacht, maar een medewerker greep het aas en downloadde het pdf-bestand. Dit zou toevallig zijn, aangezien het deBridge-team werkte aan het uitpakken van de aanvalsvector die werd verzonden vanaf een spoof-e-mailadres dat was ontworpen om dat van Smirnov te spiegelen.
De mede-oprichter verdiepte zich in de fijne kneepjes van de poging tot phishing-aanval in een lange Twitter-thread die op vrijdag werd gepost, en fungeerde als een openbare aankondiging voor de bredere cryptocurrency- en Web3-gemeenschap:
1/ @deBridgeFinance is het onderwerp geweest van een poging tot cyberaanval, blijkbaar door de Lazarus-groep.
PSA voor alle teams in Web3, deze campagne zal waarschijnlijk wijdverbreid zijn. pic.twitter.com/P5bxY46O6m
— doorAlex (@AlexSmirnov__) 5 Augustus 2022
Het team van Smirnov merkte op dat de aanval macOS-gebruikers niet zou infecteren, aangezien pogingen om de link op een Mac te openen leiden tot een zip-archief met het normale PDF-bestand Adjustments.pdf. Windows-gebaseerde systemen lopen echter risico, zoals Smirnov uitlegde:
“De aanvalsvector is als volgt: gebruiker opent link vanuit e-mail, downloadt & opent archief, probeert PDF te openen, maar PDF vraagt om een wachtwoord. Gebruiker opent password.txt.lnk en infecteert het hele systeem.”
Het tekstbestand richt de schade aan en voert een cmd.exe-opdracht uit die het systeem controleert op antivirussoftware. Als het systeem niet is beveiligd, wordt het schadelijke bestand opgeslagen in de autostart-map en begint het te communiceren met de aanvaller om instructies te ontvangen.
Verwant: 'Niemand houdt ze tegen' — dreiging voor cyberaanvallen in Noord-Korea neemt toe
Het deBridge-team stond toe dat het script instructies ontving, maar maakte de mogelijkheid om opdrachten uit te voeren ongeldig. Hieruit bleek dat de code een heleboel informatie over het systeem verzamelt en naar aanvallers exporteert. Onder normale omstandigheden zouden de hackers vanaf dit punt code op de geïnfecteerde machine kunnen uitvoeren.
Smirnov gekoppeld terug naar eerder onderzoek naar phishing-aanvallen van de Lazarus Group waarbij dezelfde bestandsnamen werden gebruikt:
#GevaarlijkWachtwoord (CryptoCore/CryptoMimic) #PTA:
b52e3aaf1bd6e45d695db573abc886dc
Wachtwoord.txt.lnkwww[.]googlesheet[.]info – overlappende infrastructuur met @h2jazi's tweet evenals eerdere campagnes.
d73e832c84c45c3faa9495b39833adb2
Nieuwe salarisaanpassingen.pdf https://t.co/kDyGXvnFaz— De Banshee Queen Strahdslayer (@cyberoverdrive) 21 juli 2022
2022 heeft een gezien golf van cross-bridge hacks zoals benadrukt door blockchain-analysebedrijf Chainalysis. Meer dan $ 2 miljard aan cryptocurrency is dit jaar in 13 verschillende aanvallen geplunderd, goed voor bijna 70% van het gestolen geld. De Ronin-brug van Axie Infinity was de slechtste hit tot nu toe, die in maart 612 $ 2022 miljoen verloor aan hackers.
Bron: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group