Cross-chain протоколдору жана Web3 фирмалары хакердик топтордун бутасына алынууда, анткени deBridge Finance Түндүк Кореянын Lazarus Group хакерлеринин белгилерин камтыган ийгиликсиз чабуулду ачат.
deBridge Finance кызматкерлери жума күнү түштөн кийин биргелешип негиздөөчүсү Алекс Смирновдон дагы бир жөнөкөй электрондук катты алышты. "Жаңы эмгек акыга өзгөртүүлөр" деп белгиленген тиркеме ар кандай крипто-валюта фирмаларынын кызыгуусун жаратты. кызматкерлерди кыскартуу жана эмгек акысын кыскартуу жаткан cryptocurrency кыш мезгилинде.
Бир нече кызматкерлер электрондук почтаны жана анын тиркемесин шектүү деп белгилешти, бирок бир кызматкер жемге алды жана PDF файлын жүктөп алды. Бул кокустук болуп калмак, анткени deBridge командасы Смирновдун дарегин чагылдыруу үчүн жасалган жасалма электрондук почта дарегинен жөнөтүлгөн чабуул векторун ачуунун үстүндө иштеген.
Негиздөөчүсү жума күнү жарыяланган узакка созулган твиттердеги фишингдик чабуул аракетинин татаалдыктарын изилдеп, кеңири cryptocurrency жана Web3 коомчулугу үчүн коомдук кызматтын жарыясы катары иш алып барды:
1/ @deBridgeFinance Кыязы, Лазар тобу тарабынан киберчабуул жасоо аракети болгон.
Web3 бардык командалар үчүн PSA, бул кампания, кыязы, кеңири таралган. pic.twitter.com/P5bxY46O6m
— деАлекс (@AlexSmirnov__) August 5, 2022
Смирновдун командасы чабуул MacOS колдонуучуларына жукпайт деп белгиледи, анткени Macта шилтемени ачуу аракети кадимки PDF файлы Adjustments.pdf менен zip архивине алып келет. Бирок, Смирнов түшүндүргөндөй, Windows негизиндеги системалар коркунучта:
“Чабуул вектору төмөнкүдөй: колдонуучу электрондук почтадан шилтемени ачат, жүктөп алат жана архивди ачат, PDFти ачууга аракет кылат, бирок PDF сырсөздү сурайт. Колдонуучу password.txt.lnk файлын ачып, бүт системага зыян келтирет.”
Тексттик файл системаны антивирустук программалык камсыздоону текшерген cmd.exe буйругун аткарып, зыян келтирет. Система корголбосо, зыяндуу файл автостарт папкасында сакталат жана инструкцияларды алуу үчүн чабуулчу менен байланыша баштайт.
Байланышкан: 'Аларды эч ким кармап турбайт' — Түндүк Кореянын киберчабуул коркунучу күч алууда
DeBridge командасы скриптке нускамаларды алууга уруксат берди, бирок кандайдыр бир буйруктарды аткаруу мүмкүнчүлүгүн жокко чыгарды. Бул код тутум жөнүндө маалыматтын бир бөлүгүн чогултуп, аны чабуулчуларга экспорттой турганын көрсөттү. Кадимки шарттарда, хакерлер ушул учурдан тартып вирус жуккан машинада кодду иштете алышат.
Смирнов байланышкан Ошол эле файл аталыштарын колдонгон Lazarus Group тарабынан жүргүзүлгөн фишингдик чабуулдар боюнча мурунку изилдөөлөргө кайтуу:
#КооптууСырсөз (CryptoCore/CryptoMimic) #АПТ:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]info – дал келген инфраструктура @h2jaziнын твиттери, ошондой эле мурунку кампаниялар.
d73e832c84c45c3faa9495b39833adb2
Жаңы эмгек акы тууралоолору.pdf https://t.co/kDyGXvnFaz— Банши ханышасы Страхдслайер (@cyberoverdrive) July 21, 2022
2022-жылы көргөн көпүрөлөр аркылуу хакерлердин көбөйүшү блокчейн талдоо фирмасы Chainalysis баса белгилегендей. Бул жылы 2 түрдүү кол салууда 13 миллиард доллардан ашык крипто валютасы уурдалган каражаттардын дээрлик 70%ын түздү. Axie Infinity Ронин көпүрөсү болгон буга чейин эң жаман сокку, 612-жылдын мартында хакерлерге 2022 миллион доллар жоготкон.
Булак: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group