Mede-oprichter en projectmanager bij DeBridge Finance Alex Smirnov aangekondigd op Twitter op vrijdag dat zijn bedrijf het onderwerp was geweest van een poging tot cyberaanval door de beruchte Noord-Koreaanse Lazarus Group.
DeBridge biedt een cross-chain liquiditeits- en interoperabiliteitsprotocol voor het verplaatsen van informatie en activa over blokketens.
De aanval werd gelanceerd met behulp van een hoax-e-mail die veel DeBridge-teamleden ontvingen en die een pdf-bestand met de titel "Nieuwe salarisaanpassingen" bevatte dat beweerde van Smirnov te zijn.
E-mailspoofing is een soort aanval waarbij een schadelijke e-mail eruitziet alsof deze afkomstig is van een betrouwbare bron, in dit geval de mede-oprichter van het bedrijf.
Smirnov verklaarde: "We hebben strikte interne beveiligingsnormen en werken er voortdurend aan om deze te verbeteren en het team te trainen over mogelijke aanvalsvectoren.
Smirnov voerde aan dat één persoon het bestand desondanks heeft gedownload en geopend, wat leidde tot een aanval op de interne systemen van het bedrijf. Dit leidde tot een onderzoek naar de bron van de aanval, de beoogde functionaliteit van de aanval en eventuele gevolgen.
Een kort onderzoek wees uit dat de ontvangen malware veel pc-gerelateerde gegevens verzamelde en exporteerde naar [het commandocentrum van de aanvaller]: gebruikersnaam, OS-informatie, CPU-informatie, netwerkadapters en lopende processen, aldus Smirnov.
Smirnov contrasteerde wat DeBridge opmerkte met een ander Twitter-bericht van een andere gebruiker die soortgelijke eigenschappen vertoonde en het Noord-Koreaanse hackerscollectief identificeerde.
15/ Volgens de Twitter-thread https://t.co/5YThfumjZD bestanden met dezelfde namen (maar verschillende hashes) werden opgemerkt en toegeschreven aan Lazarus Group (Noord-Koreaanse hackers).
— doorAlex (@AlexSmirnov__) 5 Augustus 2022
Smirnov adviseerde zijn volgers om een intern beleid te ontwikkelen voor hoe hun team bijlagen deelt en nooit e-mailbijlagen opent zonder het volledige e-mailadres van de afzender te verifiëren.
“Open nooit e-mailbijlagen zonder het volledige e-mailadres van de afzender te verifiëren, en zorg voor een intern protocol voor hoe uw team bijlagen deelt!
Blijf alsjeblieft SAFU en deel deze thread om iedereen op de hoogte te stellen van mogelijke aanvallen”
18/ TL;DR: Open nooit e-mailbijlagen zonder het volledige e-mailadres van de afzender te verifiëren en zorg voor een intern protocol voor hoe uw team bijlagen deelt!
Blijf alsjeblieft SAFU en deel deze thread om iedereen op de hoogte te stellen van mogelijke aanvallen 🔐 🤝
— doorAlex (@AlexSmirnov__) 5 Augustus 2022
Lazarus Group zou achter verschillende hacks zitten
verschillende prominente diefstal van cryptovaluta, inclusief het $ 622 miljoen Axie Infinity Ronin Ethereum sidechain-compromis in maart en de Harmony Horizon Bridge-hack in juni, worden verondersteld het werk te zijn geweest van de Lazarus Group.
Deze aanvallen komen zeer vaak voor, "merkt David Schwed, CEO van Halborn, een bedrijf dat blockchain-bescherming biedt. “Door de namen te geven van de bestanden die de aandacht van mensen zouden trekken, zoals salarisgegevens, jagen ze op de natuurlijke nieuwsgierigheid van mensen.
Gezien de verhoogde inzet die wordt veroorzaakt door de onomkeerbaarheid van blockchain-transacties, vervolgde Schwed:
"We zijn getuige van een toenemend aantal van dit soort aanvallen die zich expliciet richten op blockchain-organisaties."
