북한이 후원하는 악명 높은 해킹 신디케이트 '라자루스 그룹(Lazarus Group)'이 디브리지 파이낸스(deBridge Finance)에 대한 사이버 공격 시도의 범인으로 지목됐다. 크로스체인 프로토콜의 공동 설립자이자 프로젝트 리더인 Alex Smirnov는 공격 벡터가 이메일을 통해 이루어졌다고 주장했습니다. 이 이메일에서는 여러 팀 구성원이 간부 주소를 반영한 스푸핑된 주소에서 "New Salary Adjustments"라는 PDF 파일을 받았습니다.
deBridge Finance가 피싱 공격을 저지하는 데 성공했지만 Smirnov는 사기성 캠페인이 Web3 중심 플랫폼을 대상으로 널리 퍼져 있을 가능성이 있다고 경고했습니다.
deBridge에 대한 공격 시도
긴 트위터에 따르면 실 임원에 의해 대부분의 팀원은 즉시 의심스러운 이메일에 플래그를 지정했지만 한 명은 파일을 다운로드하여 열었습니다. 이것은 그들이 공격 벡터를 조사하고 그 결과를 이해하는 데 도움이 되었습니다.
Smirnov는 추가로 Mac에서 링크를 열면 일반 PDF 파일 Adjustments.pdf가 포함된 zip 아카이브로 연결되기 때문에 macOS 사용자가 안전하다고 설명했습니다. 반면에 Windows 시스템은 위험에 영향을 받지 않습니다. 대신 Windows 사용자는 이름이 같은 모호한 암호로 보호된 pdf와 Password.txt.lnk라는 추가 파일이 있는 아카이브로 연결됩니다.
텍스트 파일은 본질적으로 시스템을 감염시킵니다. 따라서 안티바이러스 소프트웨어가 없으면 악성 파일이 시스템에 침투하는 데 도움이 되고 autostart 폴더에 저장되며 그 다음 간단한 스크립트가 지시를 받기 위해 공격자와 통신하기 위해 반복적인 요청을 보내기 시작합니다.
"공격 벡터는 다음과 같습니다. 사용자가 이메일에서 링크 열기 -> 다운로드 및 아카이브 열기 -> PDF를 열려고 시도하지만 PDF가 암호를 묻습니다 -> 사용자가 password.txt.lnk를 열고 전체 시스템을 감염시킵니다.
공동 설립자는 회사와 직원들에게 발신자의 전체 이메일 주소를 확인하지 않고 이메일 첨부 파일을 열지 말고 팀에서 첨부 파일을 공유하는 방법에 대한 내부 프로토콜을 갖도록 촉구했습니다.
"SAFU를 유지하고 이 스레드를 공유하여 모든 사람에게 잠재적인 공격에 대해 알리십시오."
암호화폐를 노리는 라자루스 공격자
국가가 후원하는 북한 해킹 그룹은 금전적 동기가 있는 공격을 수행하는 것으로 유명합니다. 예를 들어, Lazarus는 암호화폐 거래소, NFT 마켓플레이스 및 상당한 지분을 보유한 개인 투자자에 대해 세간의 이목을 끄는 많은 공격을 수행했습니다. 이번 공격은 해킹 신디케이트가 수행한 이전 공격과 상당히 유사한 것으로 보인다.
코로나19 사태 속 라자루스가 주도하는 사이버 범죄 본 엄청난 상승세. 보다 최근에 이 그룹은 올해 초 Axie Infinity의 Ronin 브리지에서 620억 XNUMX천만 달러 이상을 훔쳤습니다.
실제로 보고서에서도 공개 국가의 사이버 프로그램은 경제적으로 다른 세계와 격리되어 있음에도 불구하고 크고 잘 조직되어 있습니다. 여러 미국 정부 소식통에 따르면 이러한 엔터티도 Web3에 적응했으며 현재 분산된 금융 공간을 목표로 하고 있습니다.
