Kettenübergreifende Protokolle und Web3-Firmen werden weiterhin von Hackergruppen angegriffen, während deBridge Finance einen gescheiterten Angriff entpackt, der die Handschrift der nordkoreanischen Hacker der Lazarus Group trägt.
Die Mitarbeiter von deBridge Finance erhielten an einem Freitagnachmittag etwas, das wie eine weitere gewöhnliche E-Mail von Mitbegründer Alex Smirnov aussah. Ein Anhang mit der Bezeichnung „Neue Gehaltsanpassungen“ musste Interesse wecken, da verschiedene Kryptowährungsfirmen während des laufenden Kryptowährungswinters Personalentlassungen und Gehaltskürzungen einführten.
Eine Handvoll Mitarbeiter markierte die E-Mail und ihren Anhang als verdächtig, aber ein Mitarbeiter nahm den Köder und lud die PDF-Datei herunter. Dies sollte sich als Zufall erweisen, da das deBridge-Team daran arbeitete, den Angriffsvektor zu entpacken, der von einer gefälschten E-Mail-Adresse gesendet wurde, die die von Smirnov widerspiegeln sollte.
Die Mitbegründer vertieften sich in einem langen Twitter-Thread, der am 5. August veröffentlicht wurde, in die Feinheiten des versuchten Phishing-Angriffs und dienten als öffentliche Ankündigung für die breitere Kryptowährungs- und Web3-Community:
1/ @deBridgeFinance war Gegenstand eines versuchten Cyberangriffs, offenbar von der Lazarus-Gruppe.
PSA für alle Teams in Web3, diese Kampagne ist wahrscheinlich weit verbreitet. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) 5. August 2022
Smirnovs Team stellte fest, dass der Angriff macOS-Benutzer nicht infizieren würde, da Versuche, den Link auf einem Mac zu öffnen, zu einem Zip-Archiv mit der normalen PDF-Datei Adjustments.pdf führen. Windows-basierte Systeme sind jedoch gefährdet, wie Smirnov erklärte:
„Der Angriffsvektor ist wie folgt: Benutzer öffnet Link aus E-Mail, lädt herunter und öffnet Archiv, versucht, PDF zu öffnen, aber PDF fragt nach einem Passwort. Benutzer öffnet password.txt.lnk und infiziert das gesamte System.“
Die Textdatei richtet den Schaden an und führt einen cmd.exe-Befehl aus, der das System auf Antivirensoftware überprüft. Wenn das System nicht geschützt ist, wird die schädliche Datei im Autostart-Ordner gespeichert und beginnt mit dem Angreifer zu kommunizieren, um Anweisungen zu erhalten.
Siehe auch: „Niemand hält sie zurück“ – Die Bedrohung durch nordkoreanische Cyberangriffe steigt
Das deBridge-Team erlaubte dem Skript, Anweisungen zu empfangen, machte aber die Fähigkeit, Befehle auszuführen, zunichte. Dabei zeigte sich, dass der Code eine Menge Informationen über das System sammelt und an Angreifer exportiert. Unter normalen Umständen könnten die Hacker ab diesem Zeitpunkt Code auf dem infizierten Computer ausführen.
Smirnov verknüpft zurück zu früheren Recherchen zu Phishing-Angriffen der Lazarus-Gruppe, die dieselben Dateinamen verwendeten:
#GefährlichesPasswort (CryptoCore/CryptoMimic) #GEEIGNET:
b52e3aaf1bd6e45d695db573abc886dc
Passwort.txt.lnkwww[.]googlesheet[.]info – überlappende Infrastruktur mit @h2jazi‘s Tweet sowie frühere Kampagnen.
d73e832c84c45c3faa9495b39833adb2
Neue Gehaltsanpassungen.pdf https://t.co/kDyGXvnFaz– Die Banshee-Königin Strahdslayer (@cyberoverdrive) 21. Juli 2022
Das Jahr 2022 hat einen Anstieg von Cross-Bridge-Hacks erlebt, wie das Blockchain-Analyseunternehmen Chainalysis hervorhebt. Kryptowährungen im Wert von über 2 Milliarden US-Dollar wurden in diesem Jahr bei 13 verschiedenen Angriffen gestohlen, was fast 70 % der gestohlenen Gelder ausmacht. Die Ronin-Brücke von Axie Infinity war bisher am schlimmsten betroffen – sie verlor im März 2022 612 Millionen Dollar an Hacker.