DeBridge Finance Хойд Солонгосын Лазарус группын хакеруудын шинж тэмдэг бүхий бүтэлгүй халдлагыг задалж байгаа тул хөндлөн гинжин хэлхээний протоколууд болон Web3 пүүсүүд хакерын бүлэглэлийн бай байсаар байна.
Баасан гарагийн үдээс хойш deBridge Finance-ийн ажилтнууд үүсгэн байгуулагч Алекс Смирновоос өөр нэг энгийн цахим шуудан хүлээн авлаа. "Цалингийн шинэ зохицуулалт" гэсэн шошготой хавсралт нь янз бүрийн криптовалютын фирмүүдийн сонирхлыг татах нь гарцаагүй. ажилтнуудаа цомхотгох, цалинг бууруулах үргэлжилж буй cryptocurrency өвлийн улиралд.
Цөөн хэдэн ажилчид цахим шуудан болон түүний хавсралтыг сэжигтэй гэж тэмдэглэсэн боловч нэг ажилтан өгөөш авч PDF файлыг татаж авсан байна. ДеБриджийн багийнхан Смирновын хаягийг тусгах зорилгоор хуурамч имэйл хаягаас илгээсэн халдлагын векторыг задлахаар ажиллаж байсан тул энэ нь санамсаргүй хэрэг болно.
Хамтран үүсгэн байгуулагч нь баасан гаригт нийтэлсэн твиттер хуудсандаа фишинг халдлага хийх оролдлогын нарийн ширийн зүйлийг судалж, криптовалют болон Web3 нийгэмлэгт олон нийтэд зориулсан сурталчилгааны үүрэг гүйцэтгэсэн:
1/ @deBridgeFinance Лазарус бүлэглэлийн кибер халдлагад өртсөн бололтой.
Web3 дээрх бүх багуудад зориулсан PSA, энэ кампанит ажил өргөн тархсан байх магадлалтай. pic.twitter.com/P5bxY46O6m
— деАлекс (@AlexSmirnov__) Наймдугаар сарын 5, 2022
Mac дээр холбоосыг нээх оролдлого нь Adjustments.pdf энгийн PDF файлтай зип архивт хүргэдэг тул халдлага нь macOS хэрэглэгчдэд халдварлахгүй гэдгийг Смирновын багийнхан тэмдэглэв. Гэсэн хэдий ч Смирнов тайлбарласнаар Windows-д суурилсан системүүд эрсдэлд ордог.
"Довтолгооны вектор нь дараах байдалтай байна: хэрэглэгч имэйлээс холбоосыг нээж, архивыг татаж, нээдэг, PDF-г нээхийг оролддог боловч PDF нь нууц үг асуудаг. Хэрэглэгч password.txt.lnk-г нээж, бүхэл системийг халдварладаг.”
Текст файл нь вирусын эсрэг программ хангамжийг системд шалгадаг cmd.exe командыг ажиллуулж гэмтэл учруулдаг. Хэрэв систем хамгаалагдаагүй бол хортой файл автоматаар эхлүүлэх хавтсанд хадгалагдаж, зааврыг хүлээн авахын тулд халдагчтай холбогдож эхэлдэг.
Холбоотой: 'Тэднийг хэн ч саатуулахгүй байна' — Хойд Солонгосын кибер халдлагын аюул нэмэгдсээр байна
DeBridge-ийн баг скриптэд заавар хүлээн авахыг зөвшөөрсөн боловч аливаа тушаалыг гүйцэтгэх боломжийг хүчингүй болгосон. Энэ нь тус код нь системийн талаарх олон мэдээллийг цуглуулж, халдагчдад экспортлодог болохыг харуулсан. Ердийн нөхцөлд энэ үеэс эхлэн хакерууд халдвар авсан машин дээр код ажиллуулах боломжтой болно.
Смирнов холбоотой Ижил файлын нэрийг ашигласан Лазарус группын хийсэн фишинг халдлагын талаарх өмнөх судалгаа руу буцах:
#АюултайНууц үг (CryptoCore/CryptoMimic) #APT:
b52e3aaf1bd6e45d695db573abc886dc
Password.txt.lnkwww[.]googlesheet[.]мэдээлэл – давхцаж буй дэд бүтэц @h2jazi's tweet, түүнчлэн өмнөх кампанит ажил.
d73e832c84c45c3faa9495b39833adb2
Цалингийн шинэ зохицуулалт.pdf https://t.co/kDyGXvnFaz- Баншегийн хатан хаан Страхд алуурчин (@cyberoverdrive) Долдугаар сарын 21, 2022
2022 оныг харсан гүүр дамнасан хакеруудын өсөлт блокчейн шинжилгээний фирмийн Chainalysis онцолсон. Энэ жил 2 төрлийн халдлагад өртөн 13 тэрбум гаруй долларын криптовалют хулгайлагдсан нь хулгайлагдсан хөрөнгийн 70 орчим хувийг эзэлж байна. Axie Infinity-ийн Ронин гүүр нь байсан өнөөг хүртэл хамгийн хүнд цохилт болсон, 612 оны гуравдугаар сард хакеруудад 2022 сая доллар алдсан.
Эх сурвалж: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group