Z pomocą fałszywej rekrutacji wykradziono z Axie Infinity równowartość około 2.5 miliarda PLN

O temacie pisaliśmy w marcu tego roku, a niedawno na stronie samych zhackowanych pokazała się aktualizacja:

Sky Mavis employees are under constant advanced spear-phishing attacks on various social channels and one employee was compromised. This employee no longer works at Sky Mavis. The attacker managed to leverage that access to penetrate Sky Mavis IT infrastructure and gain access to the validator nodes. 

Nieco więcej informacji podaje serwis the Block:

Ktoś zaoferował pracę jednemu z ludzi IT pracujących w firmie, na którą był planowany atak. Cała oferta pracy była fałszywa i miała na celu uzyskanie dostępu do komputera ofiary:

(…) a senior engineer at Axie Infinity was duped into applying for a job at a company that, in reality, did not exist. The fake “offer” was delivered in the form of a PDF document, which the engineer downloaded — allowing spyware to infiltrate Ronin’s systems.

Ciężko powiedzieć czy rzeczywiście był to PDF (z exploitem), czy może „PDF”, który tak naprawdę był plikiem wykonywalnym. W każdym razie atak zadziałał i napastnicy znaleźli się w infrastrukturze IT.

Jako atakujący wskazana została tutaj grupa APT Lazarus, kojarzona z Koreą Północną. Co ciekawe ESET wskazuje, że ekipa ta wykorzystuje ostatnio dość często właśnie strategię fałszywej rekrutacji. Tutaj przykład fałszywego rekrutera:

Warto przy okazji dodać, że w swoim ostatnim opracowaniu: ESET Research: Lazarus attacks aerospace and defense contractors worldwide while misusing LinkedIn and WhatsApp – firma wskazuje, że na celowniku była również Polska.

PS
Ciekawe jak np. nasz standardowy, polski urzędnik poradziłby sobie z super ofertą pracy z uznanej firmie, z pensją dajmy na to x10. Wystarczy tylko otworzyć PDFa…

~Michał Sajdak