Rantai silang, waspadalah! bendera deBridge mencoba melakukan serangan phishing, tersangka Lazarus Group

Protokol lintas rantai dan perusahaan Web3 terus menjadi sasaran kelompok peretas saat deBridge Finance mengungkap serangan gagal yang memiliki ciri khas peretas Grup Lazarus Korea Utara.

Karyawan deBridge Finance menerima apa yang tampak seperti email biasa dari salah satu pendiri Alex Smirnov pada hari Jumat sore. Lampiran berlabel 'Penyesuaian Gaji Baru' terikat untuk menarik minat, dengan berbagaiperusahaan cryptocurrency melembagakan PHK staf dan pemotongan gaji selama musim dingin cryptocurrency yang sedang berlangsung.

Beberapa karyawan menandai email dan lampirannya sebagai mencurigakan, tetapi salah satu anggota staf terpancing dan mengunduh file PDF. Ini terbukti kebetulan, karena tim deBridge bekerja membongkar vektor serangan yang dikirim dari alamat email spoof yang dirancang untuk mencerminkan milik Smirnov.

Co-founder menyelidiki seluk-beluk percobaan serangan phishing di utas Twitter panjang yang diposting pada 5 Agustus, bertindak sebagai pengumuman layanan publik untuk komunitas cryptocurrency dan Web3 yang lebih luas:

1/@deBridgeFinance telah menjadi subjek percobaan serangan dunia maya, tampaknya oleh kelompok Lazarus.

PSA untuk semua tim di Web3, kampanye ini kemungkinan tersebar luas.pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__)5 Agustus 2022

Tim Smirnov mencatat bahwa serangan itu tidak akan menginfeksi pengguna macOS, karena upaya untuk membuka tautan di Mac mengarah ke arsip zip dengan file PDF normal Adjustments.pdf. Namun sistem berbasis Windows berisiko seperti yang dijelaskan Smirnov:

“Vektor serangannya adalah sebagai berikut: pengguna membuka tautan dari email, mengunduh & membuka arsip, mencoba membuka PDF, tetapi PDF meminta kata sandi. Pengguna membuka password.txt.lnk dan menginfeksi seluruh sistem.”

File teks melakukan kerusakan, menjalankan perintah cmd.exe yang memeriksa sistem untuk perangkat lunak anti-virus. Jika sistem tidak dilindungi, file jahat disimpan di folder mulai otomatis dan mulai berkomunikasi dengan penyerang untuk menerima instruksi.

Tim deBridge mengizinkan skrip untuk menerima instruksi tetapi membatalkan kemampuan untuk menjalankan perintah apa pun. Ini mengungkapkan bahwa kode tersebut mengumpulkan banyak informasi tentang sistem dan mengekspornya ke penyerang. Dalam keadaan normal, para peretas akan dapat menjalankan kode pada mesin yang terinfeksi sejak saat ini.

Smirnovterkait kembali ke penelitian sebelumnya tentang serangan phishing yang dilakukan oleh Grup Lazarus yang menggunakan nama file yang sama:

#Password Berbahaya (CryptoCore/CryptoMimic)#TEPAT :
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnk

www[.]googlesheet[.]info - infrastruktur yang tumpang tindih dengan@h2jazi tweet serta kampanye sebelumnya.

d73e832c84c45c3faa9495b39833adb2
Penyesuaian Gaji Baru.pdfhttps://t.co/kDyGXvnFaz
— Ratu Banshee Strahdslayer (@cyberoverdrive)21 Juli 2022

2022 telah melihat lonjakan peretasan lintas-jembatan sebagaidisorot oleh perusahaan analisis blockchain, Chainalysis . Cryptocurrency senilai lebih dari $2 miliar telah ditipu dalam 13 serangan berbeda tahun ini, terhitung hampir 70% dari dana yang dicuri.Jembatan Ronin Axie Infinity telah menjadi yang terparah sejauh ini - kehilangan $612 juta karena peretas pada Maret 2022.