- Хакерская группа Lazarus пыталась использовать нескольких членов команды компании для проведения атаки, отправляя поддельные электронные письма, содержащие PDF-файл под названием «Новые корректировки заработной платы».
- Один из сотрудников загрузил файл, что привело к атаке на внутреннюю систему компании.
Печально известная северокорейская хакерская группа Lazarus, ответственная за несколько громких атак, как сообщается, совершила быстрое покушение на Debridge Finance. Алекс Смирнов, соучредитель и руководитель проекта DeBridge Finance, сообщил об этом в пятницу.
Компания известна тем, что обеспечивает межцепочечную совместимость и протокол ликвидности, используемый для передачи данных и активов между блокчейнами.
По словам Смирнова, хакерская группа Lazarus пыталась использовать нескольких членов команды компании для проведения атаки, отправляя поддельные электронные письма, содержащие PDF-файл под названием «Новые корректировки заработной платы». Важно отметить, что поддельные электронные письма манипулируются, чтобы выглядеть так, будто они пришли из надежного источника. В данной конкретной атаке электронное письмо, как оказалось, пришло от соучредителя компании.
Смирнов пояснил, что члены команды прошли базовую подготовку по возможным атакам.
Мы придерживаемся строгой внутренней политики безопасности и постоянно работаем над ее совершенствованием, а также обучаем команду возможным векторам атак.
Тем не менее, один из сотрудников загрузил этот файл, что привело к атаке на внутреннюю систему компании.
Расследование атаки хакерской группы Lazarus
Первоначальное расследование с целью узнать, откуда пришла атака, ее цель и возможные последствия, показало, что загруженный файл был предназначен для экспорта информации хакерам.
Быстрый анализ показал, что полученный код собирает МНОГО информации о ПК и экспортирует ее в [командный центр злоумышленника]: имя пользователя, информация об ОС, информация о процессоре, сетевых адаптерах и запущенных процессах.
Смирнов также заметил, что атака на Debridge имела схожие характеристики с другой атакой, опубликованной в Twitter, которая, как утверждается, была предпринята группой Lazarus.
Он предостерег своих последователей от открытия любого электронного письма без предварительной проверки полного имени отправителя. Кроме того, они должны иметь внутренний протокол о том, как их команда обменивается вложениями, чтобы отличить их от тех, которые приходят от субъектов угрозы.
По словам Дэвида Шведа, главного операционного директора компании Halborn, специализирующейся на безопасности блокчейна, этот вид атак очень распространен. Он пояснил, что хакеры пытаются воспользоваться любознательностью людей, чтобы назвать эти вредоносные файлы таким образом, чтобы привлечь их внимание. Швед также сообщил, что неизменность транзакций блокчейна делает блокчейн-компании главной мишенью для подобных атак.
Хакерская группа Lazarus, как утверждается, стоит за атакой на Ronin Network, Ethereum sidechain, используемый в криптоигреAxie Infinity. Им удалось похитить криптовалюты на сумму 622 миллиона долларов, что стало вторым по величине взломом Defi на сегодняшний день. Самые ранние атаки этой хакерской группы относятся к 2009 году, ФБР назвало их «хакерской организацией, спонсируемой государством». Считается, что они также ответственны за атаку WannaCry ransomware в 2017 году, взлом Sony Pictures в 2014 году, а также за несколько других атак на фармацевтические компании в 2020 году.
