Mae protocolau traws-gadwyn a chwmnïau Web3 yn parhau i gael eu targedu gan grwpiau hacio, wrth i deBridge Finance ddadbacio ymosodiad aflwyddiannus sy'n dangos nodweddion hacwyr Grŵp Lazarus Gogledd Corea.
Derbyniodd gweithwyr deBridge Finance yr hyn a oedd yn edrych fel e-bost cyffredin arall gan y cyd-sylfaenydd Alex Smirnov ar brynhawn dydd Gwener. Roedd atodiad o'r enw “New Salary Adjustments” yn sicr o godi llog, gydag amrywiol gwmnïau arian cyfred digidol cychwyn diswyddiadau staff a thoriadau cyflog yn ystod y gaeaf cryptocurrency parhaus.
Tynnodd llond llaw o weithwyr sylw at yr e-bost a'i atodiad fel rhai amheus, ond cymerodd un aelod o staff yr abwyd a lawrlwytho'r ffeil PDF. Byddai hyn yn ffodus, wrth i dîm DeBridge weithio ar ddadbacio'r fector ymosodiad a anfonwyd o gyfeiriad e-bost ffug a ddyluniwyd i adlewyrchu cyfeiriad Smirnov.
Ymchwiliodd y cyd-sylfaenydd i gymhlethdodau’r ymgais i ymosod ar we-rwydo mewn edefyn Twitter hir a bostiwyd ddydd Gwener, gan weithredu fel cyhoeddiad gwasanaeth cyhoeddus ar gyfer y gymuned cryptocurrency a Web3 ehangach:
1/ @deBridgeFinance wedi bod yn destun ymgais seibr ymosodiad, yn ôl pob golwg gan y grŵp Lasarus.
PSA ar gyfer pob tîm yn Web3, mae'r ymgyrch hon yn debygol o fod yn eang. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) Awst 5, 2022
Nododd tîm Smirnov na fyddai'r ymosodiad yn heintio defnyddwyr macOS, gan fod ymdrechion i agor y ddolen ar Mac yn arwain at archif sip gyda'r ffeil PDF arferol Adjustments.pdf. Fodd bynnag, mae systemau sy'n seiliedig ar Windows mewn perygl fel yr esboniodd Smirnov:
“Mae'r fector ymosodiad fel a ganlyn: defnyddiwr yn agor dolen o e-bost, yn lawrlwytho ac yn agor archif, yn ceisio agor PDF, ond mae PDF yn gofyn am gyfrinair. Defnyddiwr yn agor password.txt.lnk ac yn heintio'r system gyfan.”
Mae'r ffeil testun yn gwneud y difrod, gan weithredu gorchymyn cmd.exe sy'n gwirio'r system am feddalwedd gwrth-firws. Os na chaiff y system ei diogelu, caiff y ffeil faleisus ei chadw yn y ffolder autostart ac mae'n dechrau cyfathrebu â'r ymosodwr i dderbyn cyfarwyddiadau.
Cysylltiedig: 'Nid oes neb yn eu dal yn ôl’—bygythiad seibr-ymosodiad Gogledd Corea yn codi
Caniataodd tîm deBridge y sgript i dderbyn cyfarwyddiadau ond diddymwyd y gallu i weithredu unrhyw orchmynion. Datgelodd hyn fod y cod yn casglu ystod o wybodaeth am y system ac yn ei allforio i ymosodwyr. O dan amgylchiadau arferol, byddai'r hacwyr yn gallu rhedeg cod ar y peiriant heintiedig o'r pwynt hwn ymlaen.
Smirnov cysylltu yn ôl i ymchwil cynharach i ymosodiadau gwe-rwydo a gynhaliwyd gan Grŵp Lazarus a ddefnyddiodd yr un enwau ffeil:
#Cyfrinair Peryglus (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Cyfrinair.txt.lnkwww[.]googlesheet[.]gwybodaeth – seilwaith sy'n gorgyffwrdd â @h2jazi' trydar yn ogystal ag ymgyrchoedd cynharach.
d73e832c84c45c3faa9495b39833adb2
Addasiadau Cyflog Newydd.pdf https://t.co/kDyGXvnFaz— Y Frenhines Banshee Strahdslayer (@cyberoverdrive) Gorffennaf 21, 2022
Mae 2022 wedi gweld a ymchwydd mewn haciau traws-bont fel yr amlygwyd gan gwmni dadansoddi blockchain Chainalysis. Mae gwerth dros $2 biliwn o arian cyfred digidol wedi’i gnu mewn 13 o ymosodiadau gwahanol eleni, gan gyfrif am bron i 70% o’r arian sydd wedi’i ddwyn. Mae pont Ronin Axie Infinity wedi bod yn y ergyd gwaethaf hyd yn hyn, colli $612 miliwn i hacwyr ym mis Mawrth 2022.
Ffynhonnell: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group