Notorious Lazarus Group предприняла попытку кибератаки, утверждает соучредитель deBridge

Lazarus Group, печально известный хакерский синдикат, поддерживаемый Северной Кореей, признан виновником попытки кибератаки на deBridge Finance. Соучредитель межсетевого протокола и руководитель проекта Алекс Смирнов утверждал, что вектор атаки был через электронную почту, в которой несколько членов команды получили PDF-файл под названием «Новые корректировки заработной платы» с поддельного адреса, который отражал собственный адрес руководителя.

Хотя deBridge Finance удалось предотвратить фишинговую атаку, Смирнов предупредил, что мошенническая кампания, вероятно, широко распространена и нацелена на платформы, ориентированные на Web3.

Попытка атаки на deBridge

Согласно длинной ветке руководителя в Твиттере, большинство членов команды сразу же отметили подозрительное письмо, но один загрузил и открыл файл. Это помогло им изучить вектор атаки и понять ее последствия.

Смирнов также пояснил, что пользователи macOS в безопасности, так как открытие ссылки на Mac приведет к созданию zip-архива с обычным PDF-файлом Adjustments.pdf. С другой стороны, системы Windows не застрахованы от опасностей. Вместо этого пользователи Windows будут перенаправлены в архив с сомнительным защищенным паролем pdf с тем же именем и дополнительным файлом с именем Password.txt.lnk.

Текстовый файл может заразить систему. Таким образом, отсутствие антивирусного программного обеспечения поможет вредоносному файлу проникнуть на машину и сохранится в папке автозапуска, после чего простой скрипт начнет отправлять повторяющиеся запросы на связь с злоумышленником для получения инструкций.

«Вектор атаки следующий: пользователь открывает ссылку из электронной почты -> скачивает и открывает архив -> пытается открыть PDF, но PDF запрашивает пароль -> пользователь открывает password.txt.lnk и заражает всю систему. .”

Затем соучредитель призвал фирмы и их сотрудников никогда не открывать вложения электронной почты, не проверив полный адрес электронной почты отправителя, и иметь внутренний протокол для того, как команды обмениваются вложениями.

«Пожалуйста, оставайтесь в SAFU и поделитесь этой веткой, чтобы все знали о потенциальных атаках».

Атакующие Lazarus нацелены на криптовалюту

Спонсируемые государством северокорейские хакерские группы печально известны своими финансовыми атаками. Lazarus, например, провел множество громких атак на криптовалютные биржи, торговые площадки NFT и отдельных инвесторов со значительными активами. Последняя атака, по-видимому, во многом похожа на предыдущие, совершенные хакерским синдикатом.

Во время вспышки COVID-19 число киберпреступлений под предводительством Лазаря резко возросло. Совсем недавно в начале этого года группа украла более 620 млн долларов с моста Ронин компании Axie Infinity.

На самом деле отчеты также показывают, что киберпрограмма страны является крупной и хорошо организованной, несмотря на то, что она экономически изолирована от остального мира. Согласно многочисленным источникам в правительстве США, эти организации также адаптировались к Web3 и в настоящее время нацелены на децентрализованное финансовое пространство.

Сообщение о попытке кибератаки Notorious Lazarus Group утверждает, что соучредитель deBridge впервые появился на CryptoPotato.