E-posta tabanlı bir hack saldırısının kurbanı olduğu açıklanan çapraz zincir protokolü deBridge Finance, yaptığı soruşturmanın sonucunda eylemin muhtemelen Kuzey Kore bağlantılı Lazarus Group’tan geldiğini gösterdiğini açıkladı.
“Hack Saldırısı Diğer Web3 Platformlarına da Yayılabilir”
deBridge kurucusu Alex Smirnov, konuyla ilgili şunları yazdı:
“deBridgeFinance görünüşe göre Lazarus grubu tarafından bir siber saldırı girişimine maruz kalmıştır.
Web3’teki tüm ekipler için tehlike arz eden bu girişimin geniş çaplı olması muhtemeldir.”
Saldırı, deBridge’in kurucu ortağı Alex Smirnov’un e-posta adresini taklit eden bir e-posta şeklinde gerçekleşti. Çalışanların çoğu şüpheli e-postayı bildirmiş olsa da, bir çalışan ilgili dosyayı indirip açtı.
Smirnov yazdığı uzun bir Twitter mesajında, şirketin saldırıya ilişkin incelemesinin, Kuzey Kore’nin Lazarus Grubu tarafından gerçekleştirilen diğer siber saldırılarda fark edilenlere benzer bir saldırı yönelimini gösterdiğini söyledi.
1/ @deBridgeFinance has been the subject of an attempted cyberattack, apparently by the Lazarus group.
PSA for all teams in Web3, this campaign is likely widespread. pic.twitter.com/P5bxY46O6m
— deAlex (@AlexSmirnov__) August 5, 2022
deBridge Kurucusu, Saldırının Nasıl Gerçekleştiğine Dair Detayları Anlattı
Smirnov, açıklamalarına şöyle devam etti:
“Saldırı yöntemi e-posta yoluyla gerçekleştirilmiş olup, ekibimizden birkaç kişiye benimkini taklit eden bir e-posta adresinden “Yeni Maaş Düzenlemeleri” adlı bir PDF dosyası almıştır.
Sıkı iç güvenlik politikalarımız var ve sürekli olarak bunları geliştirmeye ve ekibi olası saldırı yolları konusunda eğitmeye çalışıyoruz.
Ekip üyelerinin çoğu şüpheli e-postayı hemen rapor etti, ancak bir meslektaşımız dosyayı indirip açtı.
Bu durum, tam olarak nasıl çalıştığını ve sonuçlarının ne olacağını anlamak için saldırı vektörünü araştırmamıza neden oldu.
Saldırı macOS kullanıcılarına bulaşmayacak: Mac’te bu bağlantıyı açmak normal PDF dosyası Adjustments.pdf ile zip arşivine yönlendiriyor. Bu bağlantıyı Windows sistemlerinde açmak ise aynı isimde (md5: 0038…8bc4) parola korumalı pdf içeren bir arşive ve Password.txt.lnk adlı ek bir dosyaya yönlendiriyor.
Kullanıcı password.txt.lnk dosyasını açarak tüm sisteme virüs bulaştırıyor.”
Lazarus, geçmişte çok sayıda kripto para platformunu hackleyerek kendisini duyurmuştu.
*Yatırım tavsiyesi değildir.
