deBridge 플래그 피싱 공격 시도, Lazarus Group 의심

deBridge Finance가 북한의 Lazarus Group 해커의 특징을 지닌 실패한 공격을 풀면서 크로스체인 프로토콜과 Web3 회사는 계속해서 해킹 그룹의 표적이 되고 있습니다.

deBridge Finance 직원들은 금요일 오후에 공동 설립자 Alex Smirnov로부터 또 다른 평범한 이메일처럼 보이는 것을 받았습니다. "New Salary Adjustments"라는 제목의 첨부 파일은 다양한 암호화폐 회사의 관심을 불러일으켰습니다. 직원 해고 및 급여 삭감을 실시 진행중인 암호화폐 겨울 동안.

소수의 직원이 이메일과 첨부 파일을 의심스러운 것으로 표시했지만 한 직원이 미끼로 PDF 파일을 다운로드했습니다. deBridge 팀이 Smirnov를 미러링하도록 설계된 스푸핑 이메일 주소에서 보낸 공격 벡터의 압축을 푸는 작업을 했기 때문에 이는 우연한 일이 될 것입니다.

공동 설립자는 금요일에 게시된 긴 트위터 스레드에서 피싱 공격 시도의 복잡성을 탐구했으며, 이는 더 넓은 암호화폐 및 Web3 커뮤니티를 위한 공공 서비스 발표 역할을 했습니다.

Smirnov의 팀은 Mac에서 링크를 열려고 시도하면 일반 PDF 파일 Adjustments.pdf가 있는 zip 아카이브로 연결되기 때문에 공격이 macOS 사용자를 감염시키지 않을 것이라고 말했습니다. 그러나 Smirnov가 설명한 것처럼 Windows 기반 시스템은 위험합니다.

“공격 벡터는 다음과 같습니다. 사용자가 이메일에서 링크를 열고 아카이브를 다운로드하고 열고 PDF를 열려고 시도하지만 PDF에서 암호를 묻습니다. 사용자가 password.txt.lnk를 열고 전체 시스템을 감염시킵니다.”

텍스트 파일은 시스템에 안티바이러스 소프트웨어가 있는지 확인하는 cmd.exe 명령을 실행하여 손상을 입힙니다. 시스템이 보호되지 않으면 악성 파일이 autostart 폴더에 저장되고 공격자와 통신을 시작하여 지시를 받습니다.

관련된: '아무도 막지 못한다' - 북한 사이버 공격 위협 증가

deBridge 팀은 스크립트가 명령을 수신하도록 허용했지만 모든 명령을 실행할 수 있는 기능을 무효화했습니다. 이것은 코드가 시스템에 대한 방대한 정보를 수집하고 공격자에게 내보낸다는 것을 드러냈습니다. 정상적인 상황에서 해커는 이 시점부터 감염된 시스템에서 코드를 실행할 수 있습니다.

스미르노프 연결 동일한 파일 이름을 사용하는 Lazarus Group이 수행한 피싱 공격에 대한 이전 연구로 돌아가십시오.

2022년을 보았다 교차 브리지 해킹 급증 블록체인 분석 회사인 Chainalysis가 강조한 것처럼. 올해 2가지 공격으로 13억 달러 이상의 암호화폐가 유출되었으며, 이는 도난당한 자금의 거의 70%를 차지합니다. Axie Infinity의 Ronin 브리지는 지금까지 최악의 타격, 612년 2022월 해커에게 XNUMX억 XNUMX만 달러 손실