DeBridge 是一個(gè)用于跨鏈互操作性和流動(dòng)性轉(zhuǎn)移的去中心化標(biāo)準(zhǔn)，deBridge Finance是基于deBridge的跨鏈平臺(tái)，可以橋接任意區(qū)塊鏈資產(chǎn)，并在真正去中心化的基礎(chǔ)設(shè)施之上構(gòu)建新型跨鏈互操作性應(yīng)用程序。8月4日，研究人員發(fā)現(xiàn)朝鮮黑客組織Lazarus嘗試從deBridge Finance跨鏈平臺(tái)竊取加密貨幣。

事件分析

攻擊者以deBridge Finance聯(lián)合創(chuàng)始人Alex Smirnov的名義發(fā)送郵件給deBridge Finance員工，稱郵件中分享了關(guān)于薪資變化的新信息。

事實(shí)上，這是一份釣魚郵件。攻擊者使用釣魚郵件誘使公司員工啟動(dòng)惡意軟件，惡意軟件可以從Windows系統(tǒng)收集各種信息，并且含有其他惡意代碼用于攻擊的其他階段。

圖 釣魚郵件

郵件發(fā)送給了多個(gè)員工，郵件中包含一個(gè)明文‘New Salary Adjustments’的HTML文件（偽裝為pdf文件）和Windows快捷方式文件（偽裝為含有密碼的明文文本文件）。

圖 釣魚郵件中的虛假pdf和文本文件

點(diǎn)擊偽裝的pdf文件后會(huì)打開一個(gè)云存儲(chǔ)位置，該位置提供了一個(gè)包含pdf文件的密碼保護(hù)壓縮文件，受害者用戶需要點(diǎn)擊文本文件獲取密碼。

Smirnov解釋說，LNK文件會(huì)在命令行執(zhí)行以下命令，并從遠(yuǎn)程位置提取payload：

圖 提取惡意腳本的命令

腳本會(huì)顯示內(nèi)容“pdf password: salary2022”，同時(shí)會(huì)檢查被入侵的系統(tǒng)是否安裝ESET、騰訊、Bitdefender的安全防護(hù)解決方案。

圖 檢查殺毒軟件的腳本

如果檢查未發(fā)現(xiàn)安裝了以上安全防護(hù)軟件，生成的惡意文件就會(huì)保存在開始菜單以確保駐留。惡意軟件就可以實(shí)現(xiàn)駐留，并發(fā)送請(qǐng)求給攻擊者控制的命令和控制服務(wù)器等待進(jìn)一步指令。

在這一階段，攻擊者會(huì)收集受感染系統(tǒng)的信息，包括用戶名、操作系統(tǒng)、CPU、網(wǎng)絡(luò)適配器、運(yùn)行的進(jìn)程等信息。Smirnov稱攻擊中使用的惡意軟件只被少數(shù)反病毒軟件成功標(biāo)記。

與朝鮮Lazarus黑客組織有關(guān)

研究人員分析發(fā)現(xiàn)該攻擊中使用的基礎(chǔ)設(shè)施和文件名與之前朝鮮Lazarus黑客組織的攻擊活動(dòng)有交叉。

今年7月，PWC和Malwarebytes的研究人員發(fā)現(xiàn)了一起Lazarus的攻擊活動(dòng)——CryptoCore/CryptoMimic，使用了相同的文件名或類似的文件名。

BleepingComputer 發(fā)現(xiàn)今年3月，有相同的攻擊活動(dòng)還攻擊了加密貨幣交易平臺(tái)——Woo Network，使用的垃圾郵件偽裝成來自Coinbase的工作offer。雖然使用的文件名不同，但是攻擊者都使用PDF偽裝惡意文件，并誘使受害者執(zhí)行惡意文件。

在對(duì)deBridge和Woo Network的攻擊中，黑客都使用針對(duì)Windows系統(tǒng)的惡意軟件。如果檢測(cè)到是macOS操作系統(tǒng)，受害者就會(huì)收到一個(gè)含有真實(shí)PDF文件的zip文件。

圖 Lazarus向非Windows用戶發(fā)送的真實(shí)PDF文件

朝鮮黑客組織Lazarus主要聚焦于攻擊區(qū)塊鏈和加密貨幣主題的公司。常使用社會(huì)工程技巧入侵受害者計(jì)算機(jī)，然后嘗試竊取用戶加密資產(chǎn)。Lazarus黑客組織曾從Ronin network bridge竊取價(jià)值6.2億美元的以太幣。

本文翻譯自：https://www.bleepingcomputer.com/news/security/debridge-finance-crypto-platform-targeted-by-lazarus-hackers/