Hackers που πιστεύεται ότι προέρχονται από τον όμιλο Lazarus της Βόρειας Κορέας, έβαλαν στο στόχαστρό τους το deBridge Finance, ένα πρωτόκολλο cross-chain που επιτρέπει την αποκεντρωμένη μεταφορά περιουσιακών στοιχείων μεταξύ διαφόρων blockchains.
Δείτε επίσης: ΗΠΑ: Η ομάδα Lazarus χρησιμοποιεί κακόβουλα cryptocurrency apps
Οι κακόβουλοι παράγοντες χρησιμοποίησαν ηλεκτρονικό “ψάρεμα” για να ξεγελάσουν τους υπαλλήλους της εταιρείας να εγκαταστήσουν κακόβουλο λογισμικό που συνέλεγε διάφορες πληροφορίες από συστήματα Windows και επέτρεπε την παράδοση πρόσθετου κακόβουλου κώδικα για τα επόμενα στάδια της επίθεσης.
Οι Hackers στόχευσαν τους υπαλλήλους του deBridge Finance την Πέμπτη με ένα email που υποτίθεται ότι προέρχεται από τον συνιδρυτή της εταιρείας, Alex Smirnov, που φέρεται να μοιράζεται νέες πληροφορίες σχετικά με τις αλλαγές μισθών.
Το μήνυμα ηλεκτρονικού ταχυδρομείου έφθασε σε πολλούς υπαλλήλους και περιλάμβανε ένα αρχείο HTML με το όνομα “Νέες προσαρμογές μισθού”, που προσποιήθηκε ότι ήταν αρχείο PDF μαζί με ένα αρχείο συντόμευσης των Windows (.LNK) που παρουσιάζεται ως αρχείο απλού κειμένου που περιέχει κωδικό πρόσβασης.
Κάνοντας κλικ στο ψεύτικο PDF άνοιξε μια τοποθεσία αποθήκευσης στο cloud που ισχυρίζεται ότι παρέχει ένα αρχείο προστατευμένο με κωδικό πρόσβασης που περιέχει το PDF, φέρνοντας έτσι τον στόχο στην εκκίνηση του πλαστού αρχείου κειμένου για την απόκτηση του κωδικού πρόσβασης.
Δείτε ακόμα: ΗΠΑ: Η ομάδα Lazarus μπορεί να συνδέεται με το Axie Infinity Hack
Το σενάριο δημιουργήθηκε για να εμφανίζει ένα Σημειωματάριο με τον “κωδικό pdf: salary2022” και να ελέγχει εάν το παραβιασμένο σύστημα προστατεύεται από πρόγραμμα ασφαλείας από την ESET, την Tencent ή το Bitdefender.
Ο Smirnov λέει ότι εάν δεν υπάρχουν οι διαδικασίες για τα προαναφερθέντα προϊόντα ασφαλείας, το κακόβουλο αρχείο που δημιουργήθηκε αποθηκευόταν στον φάκελο εκκίνησης, για να διασφαλιστεί η διατήρηση.
Αυτό επέτρεψε στο κακόβουλο λογισμικό να επιτύχει επιμονή και να στείλει αιτήματα στον διακομιστή εντολών και ελέγχου του εισβολέα για περαιτέρω οδηγίες.
Σε αυτό το στάδιο, ο παράγοντας απειλής συνέλεξε λεπτομέρειες σχετικά με το μολυσμένο σύστημα, όπως όνομα χρήστη, λειτουργικό σύστημα, CPU, προσαρμογείς δικτύου και διεργασίες που εκτελούνται.
Ο Smirnov λέει ότι το κακόβουλο λογισμικό που χρησιμοποιήθηκε στην επίθεση επισημάνθηκε από έναν μικρό αριθμό λύσεων προστασίας από ιούς.
Δείτε επίσης: Χάκερ έκλεψαν $ 200 εκατομμύρια σε crypto από το Nomad
Το email στάλθηκε σε πολλούς υπαλλήλους της deBridge, αλλά οι περισσότεροι από αυτούς το ανέφεραν ως ύποπτο. Ωστόσο, ένας από αυτούς πήρε το δόλωμα το κατέβασε και άνοιξε το έγγραφο, το οποίο επέτρεψε στον Smirnov να αναλύσει την επίθεση.
Η σύνδεση με τους βορειοκορεάτες Hackers της ομάδας Lazarus ήταν δυνατή λόγω της επικάλυψης των ονομάτων αρχείων και της υποδομής που χρησιμοποιήθηκε σε μια προηγούμενη επίθεση που αποδόθηκε στον παράγοντα απειλής.
