هکرهای کره شمالی کارگزاران کریپتو را هدف قرار می دهند

تحریریه امنیت 19 مرداد 1401 بازدید: 64

هکرهایی که گمان می رود با گروه مجرم سایبری لازاروس مستقر در کره شمالی مرتبط هستند، با هدف قرار دادن شرکت ارزهای دیجیتال DeBridge Finance، اقدام به سرقت دیجیتالی دیگری کردند. برای اطلاعات بیشتر ازجزئیات حمله سایبری کره شمالی با های فن تک همراه باشید.

hack korea

همانطور که توسط Bleeping Computer (یک وب سایت در زمینه اخبار فناوری) گزارش شده است، deBridge به عنوان یک پروتکل انتقال نقدینگی عمل می کند که امکان انتقال غیرمتمرکز داده‌ها و دارایی‌ها را بین پلتفرم های زنجیره بلوکی متعدد فراهم می کند.
این واقعیت به تنهایی دلیل کافی برای گروه لازاروس بود تا طبق گزارش ها، شرکت را آخرین هدف خود قرار دهد. این نقض با ارسال یک ایمیل فیشینگ به کارکنان انجام شد. اگر ایمیل باز شود، سیستم را با بدافزار آلوده می‌کند و متعاقباً به آن اجازه می‌دهد اطلاعات حساسی را از دستگاه‌های مجهز به ویندوز در شبکه به دست آورد. همچنین زمینه را برای ورود کدهای مخرب جهت فعال شدن مرحله پیشرفته حمله سایبری فراهم می کند.

کارکنان دبریج فاینانس هفته گذشته ایمیلی از هکرها دریافت کردند که با نام بنیانگذار شرکت، الکس اسمیرنوف ارسال شد. این ایمیل حاوی جزئیات جعلی در مورد "تعدیل حقوق جدید" از طریق یک فایل HTML بود.

آن فایل تحت پی دی اف که با اتصال به یک فایل میانبر ویندوز (. LNK) سعی می کرد قربانیان را با قرار دادن به عنوان یک فایل متنی رمز عبور جذب کند.

پس از باز شدن فایل پی‌دی‌اف، یک مکان ذخیره‌سازی ابری راه‌اندازی می‌شود که از کاربر می‌خواهد برای دریافت رمز عبور به فایل متنی جعلی مراجعه کند. از اینجا، فایل LNK با دستوری به Command Prompt متصل می شود که یک فایل ذخیره شده از راه دور را بازیابی و بارگذاری می کند.

با توجه به اینکه هکرها اکنون با بدافزار خود به سیستم نفوذ کرده اند، می تواند اطلاعات کاملی در مورد سیستم هدف مانند نام کاربری، سیستم عامل، CPU، آداپتورهای شبکه و فرآیندهای در حال اجرا به دست آورد.

اگرچه اکثر کارمندانی ایمیل را مشکوک می‌دانستند، اما یک نفر در میان آن ها از ماهیت گمراه‌کننده محتوا بی‌اطلاع بود. هنگامی که آن کارمند سند جعلی را دانلود و باز کرد، اسمیرنوف گفت که توانسته خود حمله را بررسی کند.

با توجه به وجود شباهت در نام فایل ها و زیرساخت های کشف شده در حمله قبلی، مشکوک هستند که پشت این حادثه خاص، هکرهای کره شمالی موسوم به گروه لازاروس باشند.

گروه لازاروس مطمئناً فعال بوده و سعی کرده است کارشناسان ارزهای دیجیتال را با کمپین ایمیلی مشابه تحت عنوان صرافی ارزهای دیجیتال کوین بیس فریب دهد. این هکرها در سرقت دیگری که اوایل سال جاری صورت گرفته و 617 میلیون دلاری رمزارز که در پی آن به سرقت رفته بود، ارتباط داشتند.