Trong một tiết lộ gần đây, Elastic Security Labs đã phát hiện ra một cuộc xâm nhập mạng tinh vi của tin tặc Triều Tiên, nhiều khả năng có liên quan đến nhóm Lazarus.
Sự cố này, được theo dõi với tên REF7001, liên quan đến việc sử dụng phần mềm độc hại macOS mới có tên Kandykorn, được thiết kế đặc biệt để nhắm mục tiêu vào các kỹ sư blockchain liên quan đến các sàn giao dịch tiền điện tử.
Phần mềm độc hại được phân phối trên Discord
Elastic Security Labs đã vạch trần một cuộc xâm nhập mạng tinh vi của tin tặc Triều Tiên, nhiều khả năng có liên quan đến Tập đoàn Lazarus khét tiếng. Vụ việc này nhắm vào các kỹ sư blockchain liên quan đến các sàn giao dịch tiền điện tử, đã sử dụng một chương trình Python lừa đảo giả dạng một bot buôn bán tiền điện tử.
Điều làm nên sự khác biệt của cuộc tấn công này là phương thức phân phối của nó: những kẻ tấn công đã phân phối phần mềm độc hại thông qua tin nhắn riêng tư trên máy chủ Discord công cộng, đây không phải là chiến thuật xâm nhập điển hình đối với macOS.
Các nhà nghiên cứu tại Elastic Security Labs giải thích: “Nạn nhân tin rằng họ đang cài đặt bot chênh lệch giá, một công cụ phần mềm có khả năng thu lợi từ chênh lệch tỷ giá tiền điện tử giữa các nền tảng”.
Sau khi cài đặt, phần mềm độc hại Kandykorn bắt đầu liên lạc với máy chủ ra lệnh và kiểm soát (C2), sử dụng RC4 được mã hóa và thực hiện cơ chế bắt tay riêng biệt. Thay vì tích cực thăm dò các lệnh, nó kiên nhẫn chờ đợi chúng. Phương pháp phức tạp này cho phép tin tặc giữ quyền kiểm soát các hệ thống bị xâm nhập một cách kín đáo.
Kandykorn có mối quan hệ với Tập đoàn Lazarus khét tiếng
Elastic Security Labs đã cung cấp những hiểu biết sâu sắc có giá trị về các khả năng của Kandykorn, thể hiện sự thành thạo của phần mềm độc hại này trong việc thực hiện tải lên và tải xuống tệp, thao tác xử lý và thực thi các lệnh hệ thống tùy ý. Mối quan tâm đặc biệt là việc sử dụng tải nhị phân phản chiếu, một kỹ thuật thực thi không dùng tệp có liên quan đến Tập đoàn Lazarus khét tiếng. Tập đoàn hacker này nổi tiếng vì liên quan đến hành vi trộm cắp tiền điện tử và trốn tránh các lệnh trừng phạt quốc tế.
Hơn nữa, có bằng chứng thuyết phục liên kết cuộc tấn công này với Lazarus Group. Sự giống nhau về kỹ thuật, cơ sở hạ tầng mạng, chứng chỉ được sử dụng để ký phần mềm độc hại và các phương pháp tùy chỉnh để phát hiện các hoạt động của Lazarus Group đều cho thấy sự liên quan của chúng.
Ngoài ra, các giao dịch trực tuyến đã tiết lộ mối liên hệ giữa các vi phạm bảo mật tại Atomic Wallet, Alphapo, CoinsPaid, Stake.com và CoinEx. Những kết nối này càng chứng tỏ sự tham gia của Tập đoàn Lazarus vào các hoạt động khai thác này.
Trong một sự cố khác gần đây, Lazarus Group đã cố gắng xâm nhập các máy tính Apple chạy macOS bằng cách lừa người dùng tải xuống ứng dụng giao dịch tiền điện tử từ GitHub. Sau khi người dùng cài đặt phần mềm và cấp cho nó quyền truy cập quản trị, những kẻ tấn công đã giành được quyền truy cập cửa hậu vào hệ điều hành, cho phép truy cập từ xa.
Bằng cách đi sâu vào những chi tiết này, Elastic Security Labs đã làm sáng tỏ các chiến thuật tinh vi mà Tập đoàn Lazarus sử dụng, nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ để chống lại các mối đe dọa đó.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork