Die “Lazarus Group”, ein berüchtigtes, von Nordkorea unterstütztes Hackersyndikat, wurde als Urheber eines versuchten Cyberangriffs auf deBridge Finance identifiziert. Der Mitbegründer des Cross-Chain-Protokolls und Projektleiter Alex Smirnov gab an, dass der Angriffsvektor über eine E-Mail erfolgte, in der mehrere Teammitglieder eine PDF-Datei mit dem Namen “New Salary Adjustments” (Neue Gehaltsanpassungen) von einer gefälschten Adresse erhielten, die die eigene Adresse der Führungskraft widerspiegelte.
Während es deBridge Finance gelang, den Phishing-Angriff zu vereiteln, warnte Smirnov, dass die betrügerische Kampagne wahrscheinlich weit verbreitet ist und auf Web3-Plattformen abzielt.
Versuchte Attacke auf deBridge
Nach einer langen Twitter Thread Die meisten Teammitglieder kennzeichneten die verdächtige E-Mail sofort, aber einer lud die Datei herunter und öffnete sie. Dies half ihnen, den Angriffsvektor zu untersuchen und seine Folgen zu verstehen.
Smirnov erklärte weiter, dass macOS-Benutzer sicher seien, da das Öffnen des Links auf einem Mac zu einem Zip-Archiv mit der normalen PDF-Datei Adjustments.pdf führen würde. Andererseits sind Windows-Systeme nicht immun gegen die Gefahren. Stattdessen werden Windows-Nutzer zu einem Archiv mit einer dubiosen passwortgeschützten PDF-Datei gleichen Namens und einer zusätzlichen Datei namens Password.txt.lnk geleitet.
Die Textdatei würde das System im Wesentlichen infizieren. Die bösartige Datei wird im Autostart-Ordner gespeichert, woraufhin ein einfaches Skript beginnt, wiederholte Anfragen zu senden, um mit dem Angreifer zu kommunizieren und Anweisungen zu erhalten.
“Der Angriffsvektor sieht folgendermaßen aus: Der Benutzer öffnet einen Link aus einer E-Mail -> lädt herunter & öffnet ein Archiv -> versucht, eine PDF-Datei zu öffnen, aber die PDF-Datei fragt nach einem Kennwort -> der Benutzer öffnet die Datei password.txt.lnk und infiziert das gesamte System.”
Der Mitbegründer forderte daraufhin die Unternehmen und ihre Mitarbeiter auf, niemals E-Mail-Anhänge zu öffnen, ohne die vollständige E-Mail-Adresse des Absenders zu überprüfen, und ein internes Protokoll für den Austausch von Anhängen zu erstellen.
“Bitte bleiben Sie SAFU und teilen Sie diesen Thread, um alle über mögliche Angriffe zu informieren.”
Lazarus-Angreifer zielen auf Krypto
Die staatlich geförderten nordkoreanischen Hackergruppen sind dafür berüchtigt, finanziell motivierte Angriffe durchzuführen. Lazarus zum Beispiel hat viele hochkarätige Angriffe auf Krypto-Börsen, NFT-Marktplätze und einzelne Investoren mit bedeutenden Beständen durchgeführt. Der jüngste Angriff scheint große Ähnlichkeit mit früheren Angriffen des Hackersyndikats aufzuweisen.
Inmitten des COVID-19-Ausbruchs: Cyber-Kriminalität unter der Führung von Lazarus siehe einen massiven Aufwärtstrend. Kürzlich stahl die Gruppe über 620 Millionen Dollar von der Ronin-Brücke von Axie Infinity Anfang dieses Jahres.
In der Tat, Berichte auch enthüllen dass das Cyberprogramm des Landes groß und gut organisiert ist, obwohl es wirtschaftlich vom Rest der Welt isoliert ist. Wie aus mehreren Quellen der US-Regierung hervorgeht, haben sich diese Einrichtungen auch an das Web3 angepasst und zielen derzeit auf den dezentralen Finanzbereich ab.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>