Protokol lintas rantai dan perusahaan Web3 terus menjadi sasaran kelompok peretas, karena deBridge Finance membongkar serangan gagal yang memiliki ciri khas peretas Grup Lazarus Korea Utara.
Karyawan deBridge Finance menerima apa yang tampak seperti email biasa lainnya dari salah satu pendiri Alex Smirnov pada Jumat sore. Lampiran berlabel "Penyesuaian Gaji Baru" terikat untuk menarik minat, dengan berbagai perusahaan cryptocurrency melembagakan PHK staf dan pemotongan gaji selama musim dingin cryptocurrency yang sedang berlangsung.
Beberapa karyawan menandai email dan lampirannya sebagai mencurigakan, tetapi satu anggota staf mengambil umpan dan mengunduh file PDF. Ini akan terbukti kebetulan, karena tim deBridge bekerja untuk membongkar vektor serangan yang dikirim dari alamat email palsu yang dirancang untuk mencerminkan alamat Smirnov.
Co-founder menyelidiki seluk-beluk percobaan serangan phishing di utas Twitter panjang yang diposting pada hari Jumat, bertindak sebagai pengumuman layanan publik untuk cryptocurrency dan komunitas Web3 yang lebih luas:
1/ @deBridgeFinance telah menjadi sasaran percobaan serangan siber, tampaknya oleh kelompok Lazarus.
PSA untuk semua tim di Web3, kampanye ini kemungkinan akan tersebar luas. pic.twitter.com/P5bxY46O6m
— olehAlex (@AlexSmirnov__) 5 Agustus 2022
Tim Smirnov mencatat bahwa serangan itu tidak akan menginfeksi pengguna macOS, karena upaya untuk membuka tautan di Mac mengarah ke arsip zip dengan file PDF normal Adjustments.pdf. Namun, sistem berbasis Windows berisiko seperti yang dijelaskan Smirnov:
“Vektor serangan adalah sebagai berikut: pengguna membuka tautan dari email, mengunduh & membuka arsip, mencoba membuka PDF, tetapi PDF meminta kata sandi. Pengguna membuka password.txt.lnk dan menginfeksi seluruh sistem.”
File teks melakukan kerusakan, menjalankan perintah cmd.exe yang memeriksa sistem untuk perangkat lunak anti-virus. Jika sistem tidak dilindungi, file berbahaya disimpan di folder autostart dan mulai berkomunikasi dengan penyerang untuk menerima instruksi.
Terkait: 'Tidak ada yang menahan mereka' — ancaman serangan siber Korea Utara meningkat
Tim deBridge mengizinkan skrip untuk menerima instruksi tetapi membatalkan kemampuan untuk menjalankan perintah apa pun. Ini mengungkapkan bahwa kode tersebut mengumpulkan banyak informasi tentang sistem dan mengekspornya ke penyerang. Dalam keadaan normal, peretas akan dapat menjalankan kode pada mesin yang terinfeksi mulai saat ini dan seterusnya.
Smirnov terkait kembali ke penelitian sebelumnya tentang serangan phishing yang dilakukan oleh Lazarus Group yang menggunakan nama file yang sama:
#Kata Sandi Berbahaya (CryptoCore/CryptoMimic) #TEPAT:
b52e3aaf1bd6e45d695db573abc886dc
Kata sandi.txt.lnkwww[.]googlesheet[.]info – infrastruktur yang tumpang tindih dengan @ h2jazi's tweet serta kampanye sebelumnya.
d73e832c84c45c3faa9495b39833adb2
Penyesuaian Gaji Baru.pdf https://t.co/kDyGXvnFaz— Ratu Banshee Strahdslayer (@cyberoverdrive) Juli 21, 2022
2022 telah melihat lonjakan peretasan jembatan silang seperti yang disorot oleh perusahaan analisis blockchain Chainalysis. Cryptocurrency senilai lebih dari $ 2 miliar telah ditipu dalam 13 serangan berbeda tahun ini, terhitung hampir 70% dari dana yang dicuri. Jembatan Ronin Axie Infinity telah menjadi pukulan terburuk sejauh ini, kehilangan $612 juta karena peretas pada Maret 2022.
Sumber: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group