تواصل مجموعات القرصنة استهداف البروتوكولات عبر السلسلة وشركات Web3 ، حيث تفكك شركة deBridge Finance هجومًا فاشلاً يحمل بصمات قراصنة مجموعة Lazarus Group في كوريا الشمالية.
تلقى موظفو deBridge Finance ما يشبه بريدًا إلكترونيًا عاديًا آخر من الشريك المؤسس أليكس سميرنوف بعد ظهر يوم الجمعة. كان من المحتم أن يثير المرفق المسمى "تعديلات الراتب الجديدة" الاهتمام ، مع العديد من شركات العملات المشفرة تسريح الموظفين وخفض الأجور خلال فصل الشتاء المستمر للعملات المشفرة.
قام عدد قليل من الموظفين بوضع علامة على البريد الإلكتروني ومرفقه على أنهما مريبان ، لكن أحد الموظفين أخذ الطُعم وقام بتنزيل ملف PDF. سيكون هذا أمرًا محظوظًا ، حيث عمل فريق deBridge على تفريغ ناقل الهجوم المرسل من عنوان بريد إلكتروني مخادع مصمم ليعكس عنوان Smirnov.
بحث الشريك المؤسس في تعقيدات محاولة هجوم التصيد الاحتيالي في سلسلة رسائل طويلة على Twitter نُشرت يوم الجمعة ، بمثابة إعلان خدمة عامة لمجتمع العملة المشفرة و Web3 الأوسع:
1/ تضمين التغريدة كان موضوع محاولة هجوم إلكتروني ، على ما يبدو من قبل مجموعة لازاروس.
PSA لجميع الفرق في Web3 ، من المحتمل أن تكون هذه الحملة واسعة الانتشار. pic.twitter.com/P5bxY46O6m
- ديلكس (AlexSmirnov__) 5 أغسطس 2022
لاحظ فريق Smirnov أن الهجوم لن يصيب مستخدمي macOS ، حيث تؤدي محاولات فتح الرابط على جهاز Mac إلى أرشيف مضغوط به ملف PDF العادي Adjustments.pdf. ومع ذلك ، فإن الأنظمة المستندة إلى Windows معرضة للخطر كما أوضح سميرنوف:
"موجه الهجوم هو كما يلي: يفتح المستخدم رابطًا من البريد الإلكتروني ، ويقوم بتنزيله ويفتح الأرشيف ، ويحاول فتح ملف PDF ، لكن PDF يطلب كلمة مرور. يفتح المستخدم password.txt.lnk ويصيب النظام بأكمله. "
يتسبب الملف النصي في الضرر ، حيث يقوم بتنفيذ أمر cmd.exe الذي يفحص النظام بحثًا عن برنامج مكافحة الفيروسات. إذا لم يكن النظام محميًا ، فسيتم حفظ الملف الضار في مجلد التشغيل التلقائي ويبدأ في الاتصال بالمهاجم لتلقي التعليمات.
متعلق ب: 'لا أحد يعيقهم "- يرتفع تهديد الهجمات الإلكترونية لكوريا الشمالية
سمح فريق deBridge للسيناريو بتلقي التعليمات ولكنه أبطل القدرة على تنفيذ أي أوامر. كشف هذا أن الكود يجمع مجموعة كبيرة من المعلومات حول النظام ويصدرها إلى المهاجمين. في ظل الظروف العادية ، سيتمكن المتسللون من تشغيل التعليمات البرمجية على الجهاز المصاب من هذه النقطة فصاعدًا.
سميرنوف مرتبط عودة إلى الأبحاث السابقة حول هجمات التصيد التي نفذتها مجموعة لازاروس والتي استخدمت نفس أسماء الملفات:
#كلمة المرور الخطيرة (CryptoCore / CryptoMimic) #ملائم:
b52e3aaf1bd6e45d695db573abc886dc
كلمة المرور. txt.lnkwww [.] googlesheet [.] info - تداخل البنية التحتية مع @ h2jaziوكذلك الحملات السابقة.
d73e832c84c45c3faa9495b39833adb2
تعديلات الرواتب الجديدة. pdf https://t.co/kDyGXvnFaz- The Banshee Queen Strahdslayer (cyberoverdrive) 21 تموز، 2022
شهد عام 2022 أ زيادة في الاختراقات عبر الجسور كما أبرزته شركة تحليل blockchain Chainalysis. تم سرقة أكثر من 2 مليار دولار من العملات المشفرة في 13 هجومًا مختلفًا هذا العام ، وهو ما يمثل ما يقرب من 70 ٪ من الأموال المسروقة. كان جسر Ronin في Axie Infinity هو الأكثر تضررا حتى الآن، خسرت 612 مليون دولار للقراصنة في مارس 2022.
المصدر: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group