Хакеры из Lazarus Group атаковали протокол Debridge Finance

Хакеров из северокорейской группы Lazarus Group обвинили в кибератаке на децентрализованный криптовалютный протокол Debridge Finance.

Debridge Finance попытались взломать, очевидно, Lazarus Group. Обращение ко всем командам проектов Web3: это, скорее всего, полномасштабная кампания.

Атаку выполняют через электронную почту. Нескольким нашим сотрудникам отправили PDF-файл под названием New Salary Adjustments (Изменение зарплаты) с адреса, похожего на мой собственный, — заявил сооснователь Debridge Finance Алекс Смирнов.

При попытке открыть PDF-файл из архива появляется окно для ввода пароля, который якобы сохранён в отдельном файле Password.txt.

Когда пользователь кликает на документ, выполняется команда, запускающая скрипт, экспортирующий данные с устройства в числовое программное управление (ЧПУ). После этого система считается скомпрометированной, потому что на оборудовании можно выполнить любой код из ЧПУ.

Файлы из архива с вредоносным кодом

Смирнов выяснил, что файлы с точно такими же названиями использовали члены Lazarus Group, поэтому именно на них он возложил ответственность за кибератаку.

Один из работников Debridge Finance скачал архив с вредоносным кодом и заразил свой компьютер. Другие сотрудники фирмы вовремя сообщили о подозрительном электронном письме, и угрозу удалось устранить.

Источник