Хакеры из Lazarus Group атаковали протокол Debridge Finance
Хакеров из северокорейской группы Lazarus Group обвинили в кибератаке на децентрализованный криптовалютный протокол Debridge Finance.
Debridge Finance попытались взломать, очевидно, Lazarus Group. Обращение ко всем командам проектов Web3: это, скорее всего, полномасштабная кампания.
Атаку выполняют через электронную почту. Нескольким нашим сотрудникам отправили PDF-файл под названием New Salary Adjustments (Изменение зарплаты) с адреса, похожего на мой собственный, — заявил сооснователь Debridge Finance Алекс Смирнов.
При попытке открыть PDF-файл из архива появляется окно для ввода пароля, который якобы сохранён в отдельном файле Password.txt.
Когда пользователь кликает на документ, выполняется команда, запускающая скрипт, экспортирующий данные с устройства в числовое программное управление (ЧПУ). После этого система считается скомпрометированной, потому что на оборудовании можно выполнить любой код из ЧПУ.
Файлы из архива с вредоносным кодом
Смирнов выяснил, что файлы с точно такими же названиями использовали члены Lazarus Group, поэтому именно на них он возложил ответственность за кибератаку.
Один из работников Debridge Finance скачал архив с вредоносным кодом и заразил свой компьютер. Другие сотрудники фирмы вовремя сообщили о подозрительном электронном письме, и угрозу удалось устранить.