Северокорейские хакеры атакуют крипто-работников

Дядя Влад

Хакеры, предположительно связанные с базирующейся в Северной Корее киберпреступной группировкой Lazarus , предприняли попытку еще одного цифрового ограбления, нацелившись на криптовалютную компанию deBridge Finance.

Как сообщает Bleeping Computer , deBridge работает как «протокол передачи ликвидности, который позволяет децентрализованно передавать данные и активы» между несколькими блокчейн-платформами.

Рука на ноутбуке в темноте.

Одного этого факта было достаточно для того, чтобы Lazarus сделал компанию своей последней целью. Взлом был предпринят путем отправки фишинговых писем сотрудникам. Если его открыть, он заразит систему вредоносным ПО , что впоследствии позволит ему получать конфиденциальную информацию с устройств под управлением Windows в сети.

Это также заложило бы основу для активации еще одного цикла вредоносного кода на продвинутой стадии кибератаки.

На прошлой неделе сотрудники deBridge Finance получили электронное письмо от хакеров, представившихся соучредителем фирмы Алексом Смирновым. Электронное письмо содержало фиктивные сведения о «новой корректировке заработной платы» в виде HTML-файла.

Этот файл был замаскирован под PDF-файл, к которому присоединялся файл ярлыка Windows (.LNK), который пытался заманить жертв, выдавая себя за текстовый файл с паролем.

После открытия измененного PDF-файла запускается облачное хранилище, предлагающее пользователю вернуться к поддельному текстовому файлу для получения пароля. Отсюда файл LNK подключается к командной строке с помощью команды, которая извлекает и загружает полезные данные, хранящиеся удаленно.

Теперь, когда хакеры проникают в систему с помощью своего вредоносного ПО, он может получить соответствующую информацию о целевой системе, такую ​​как имя пользователя, операционная система, ЦП, сетевые адаптеры и запущенные процессы.

Хотя большинство сотрудников, увидевших электронное письмо, назвали его подозрительным, один человек не знал о вводящем в заблуждение характере содержания. Как только этот сотрудник загрузил и открыл поддельный документ, Смирнов сказал, что смог изучить саму атаку.

Предполагается, что за этим конкретным инцидентом стоят северокорейские хакеры из группы Lazarus из-за сходства в именах файлов и инфраструктуре, обнаруженной в ходе более ранней атаки.

Группа Lazarus определенно была активна в последнее время. Недавно он попытался обмануть экспертов по криптографии с помощью аналогичной кампании по электронной почте , выдав себя за криптовалютную биржу Coinbase. В другом месте хакеры были связаны с огромным ограблением криптовалюты на сумму 617 миллионов долларов в начале этого года.