क्रॉस-चेन प्रोटोकॉल और वेब3 फर्मों को हैकिंग समूहों द्वारा लक्षित किया जाना जारी है, क्योंकि डीब्रिज फाइनेंस उत्तर कोरिया के लाजर ग्रुप हैकर्स की पहचान वाले एक असफल हमले को खोलता है।
डीब्रिज फाइनेंस के कर्मचारियों को शुक्रवार दोपहर को सह-संस्थापक एलेक्स स्मिरनोव से एक और सामान्य ईमेल की तरह मिला। विभिन्न क्रिप्टोक्यूरेंसी फर्मों के साथ "नए वेतन समायोजन" नामक एक अनुलग्नक रुचि को कम करने के लिए बाध्य था कर्मचारियों की छंटनी और वेतन कटौती की स्थापना करना चल रहे क्रिप्टोक्यूरेंसी सर्दियों के दौरान।
मुट्ठी भर कर्मचारियों ने ईमेल और उसके अटैचमेंट को संदिग्ध के रूप में चिह्नित किया, लेकिन स्टाफ के एक सदस्य ने इसका फायदा उठाया और पीडीएफ फाइल डाउनलोड कर ली। यह आकस्मिक साबित होगा, क्योंकि डीब्रिज टीम ने स्मिरनोव को प्रतिबिंबित करने के लिए डिज़ाइन किए गए एक नकली ईमेल पते से भेजे गए हमले वेक्टर को अनपैक करने पर काम किया।
सह-संस्थापक ने शुक्रवार को पोस्ट किए गए एक लंबे ट्विटर थ्रेड में फ़िशिंग हमले के प्रयास की पेचीदगियों में तल्लीन किया, व्यापक क्रिप्टोक्यूरेंसी और वेब 3 समुदाय के लिए एक सार्वजनिक सेवा घोषणा के रूप में कार्य किया:
1/ @deBridgeFinance जाहिरा तौर पर लाजर समूह द्वारा साइबर हमले के प्रयास का विषय रहा है।
Web3 में सभी टीमों के लिए PSA, इस अभियान के व्यापक होने की संभावना है। pic.twitter.com/P5bxY46O6m
- डीएलेक्स (@AlexSmirnov__) अगस्त 5, 2022
स्मिरनोव की टीम ने नोट किया कि हमला macOS उपयोगकर्ताओं को संक्रमित नहीं करेगा, क्योंकि मैक पर लिंक खोलने का प्रयास सामान्य पीडीएफ फाइल एडजस्टमेंट.पीडीएफ के साथ एक ज़िप संग्रह की ओर जाता है। हालाँकि, विंडोज-आधारित सिस्टम जोखिम में हैं जैसा कि स्मिरनोव ने समझाया:
"हमला वेक्टर इस प्रकार है: उपयोगकर्ता ईमेल से लिंक खोलता है, डाउनलोड करता है और संग्रह खोलता है, पीडीएफ खोलने की कोशिश करता है, लेकिन पीडीएफ पासवर्ड मांगता है। उपयोगकर्ता password.txt.lnk खोलता है और पूरे सिस्टम को संक्रमित करता है।"
टेक्स्ट फ़ाइल नुकसान करती है, एक cmd.exe कमांड निष्पादित करती है जो एंटी-वायरस सॉफ़्टवेयर के लिए सिस्टम की जाँच करता है। यदि सिस्टम सुरक्षित नहीं है, तो दुर्भावनापूर्ण फ़ाइल ऑटोस्टार्ट फ़ोल्डर में सहेजी जाती है और निर्देश प्राप्त करने के लिए हमलावर के साथ संवाद करना शुरू कर देती है।
सम्बंधित: 'कोई भी उन्हें वापस नहीं ले रहा है' - उत्तर कोरियाई साइबर हमले का खतरा बढ़ गया है
डीब्रिज टीम ने स्क्रिप्ट को निर्देश प्राप्त करने की अनुमति दी लेकिन किसी भी कमांड को निष्पादित करने की क्षमता को समाप्त कर दिया। इससे पता चला कि कोड सिस्टम के बारे में जानकारी का एक समूह एकत्र करता है और इसे हमलावरों को निर्यात करता है। सामान्य परिस्थितियों में, हैकर्स इस बिंदु से संक्रमित मशीन पर कोड चला सकेंगे।
स्मिर्नोव जुड़ा हुआ लाजर समूह द्वारा किए गए फ़िशिंग हमलों में पहले के शोध में वापस, जिसमें समान फ़ाइल नामों का उपयोग किया गया था:
#खतरनाक पासवर्ड (क्रिप्टोकोर/क्रिप्टोमिमिक) #एपीटी:
b52e3aaf1bd6e45d695db573abc886dc
पासवर्ड.txt.lnkwww[.]googlesheet[.]info - इसके साथ ओवरलैपिंग इंफ्रास्ट्रक्चर @h2jaziके ट्वीट के साथ-साथ पहले के अभियान भी।
d73e832c84c45c3faa9495b39833adb2
नया वेतन समायोजन.pdf https://t.co/kDyGXvnFaz- द बंशी क्वीन स्ट्रैडस्लेयर (@cyberoverdrive) जुलाई 21, 2022
2022 ने देखा है क्रॉस-ब्रिज हैक में उछाल जैसा कि ब्लॉकचेन एनालिसिस फर्म Chainalysis द्वारा हाइलाइट किया गया है। इस साल 2 अलग-अलग हमलों में $ 13 बिलियन से अधिक मूल्य की क्रिप्टोकरेंसी लूटी गई है, जो लगभग 70% चोरी की गई धनराशि के लिए जिम्मेदार है। एक्सी इन्फिनिटी का रोनिन ब्रिज रहा है अब तक की सबसे बुरी मार, मार्च 612 में हैकर्स को $2022 मिलियन का नुकसान हुआ।
स्रोत: https://cointelegraph.com/news/cross-chains-beware-debridge-flags-attempted-phishing-attack-suspects-lazarus-group