DeBridge是跨链互操作和流动性转移的去中心化标准,deBridgeFinance是基于deBridge的跨链平台,可以桥接任何区块链资产,并构建新的跨链在真正分散的基础架构之上的可互操作应用程序。8月4日,研究人员发现朝鲜黑客组织Lazarus试图从deBridgeFinance跨链平台窃取加密货币。事件分析攻击者以deBridgeFinance联合创始人AlexSmirnov的名义向deBridgeFinance员工发送电子邮件,声称在电子??邮件中共享了有关薪资变动的新信息。事实上,这是一封钓鱼邮件。攻击者使用网络钓鱼电子邮件引诱公司员工启动恶意软件,该恶意软件从Windows系统收集各种信息并包含其他恶意代码以用于攻击的其他阶段。图钓鱼邮件被发送给多名员工,邮件中包含一个HTML文件(伪装成pdf文件)和一个Windows快捷方式文件(伪装成包含密码的明文文件),明文为“NewSalaryAdjustments”。图钓鱼邮件中的虚假pdf和文本文件点击虚假pdf文件后,会打开一个云存储位置,里面提供了一个包含pdf文件的受密码保护的压缩文件,受害用户需要点击文本文件获取密码。Smirnov解释说,LNK文件将在命令行上执行以下命令并从远程位置提取有效载荷:安装了ESET、腾讯、Bitdefender的安全防护方案。图检查杀毒软件脚本如果检查时没有发现安装上述安全防护软件,生成的恶意文件会保存在开始菜单中,以确保常驻。然后恶意软件可以驻留并向攻击者控制的命令和控制服务器发送请求以等待进一步的指令。在此阶段,攻击者收集有关受感染系统的信息,包括用户名、操作系统、CPU、网络适配器、正在运行的进程等。斯米尔诺夫表示,攻击中使用的恶意软件仅被少数防病毒软件成功标记。朝鲜拉撒路黑客组织相关研究人员分析发现,此次攻击使用的基础设施和文件名与朝鲜拉撒路黑客组织此前发动的攻击有重叠。7月,PWC和Malwarebytes的研究人员发现了一个使用相同或相似文件名的Lazarus活动CryptoCore/CryptoMimic。BleepingComputer发现,今年3月,同样的攻击活动还攻击了加密货币交易平台——WooNetwork,使用伪装成来自Coinbase的工作机会的垃圾邮件。虽然使用的文件名不同,但攻击者都使用PDF来伪装恶意文件并诱使受害者执行它。在deBridge和WooNetwork攻击中,黑客使用了针对Windows系统的恶意软件。如果检测到macOS操作系统,受害者会收到一个包含实际PDF文件的zip文件。图1.Lazarus发送给非Windows用户的真实PDF文件经常使用社会工程技术侵入受害者的计算机,然后试图窃取用户的加密资产。Lazarus黑客组织从Ronin网桥窃取了价值6.2亿美元的以太币。本文翻译自:https://www.bleepingcomputer.com/news/security/debridge-finance-crypto-platform-targeted-by-lazarus-hackers/
