Phòng thí nghiệm bảo mật đàn hồi cóxác định một phần mềm độc hại xâm nhập độc nhất nhắm mục tiêu cụ thể đến các kỹ sư blockchain trong các nền tảng trao đổi tiền điện tử.

Cuộc tấn công này sử dụng sự kết hợp giữa các chiến thuật lừa đảo và các công cụ thông thường để truy cập trái phép vào hệ thống máy tính và trích xuất dữ liệu nhạy cảm.

Việc sử dụng công cụ xâm nhập mạng này lần đầu tiên được phát hiện trong một cuộc điều tra về hoạt động nền của máy tính Macintosh.

Cuộc tấn công được bắt đầu thông qua một chương trình giả mạo giả dạng một công cụ tạo ra lợi nhuận bằng tiền điện tử, được phân phối qua tin nhắn trực tiếp trên Discord.

Được quy cho một nhóm được cho là đang hoạt động từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK), tức là Bắc Triều Tiên, nó có những điểm tương đồng đáng kể với Nhóm Lazarus.

Điều này dựa trên việc phân tích các phương pháp, cấu trúc mạng, chứng chỉ kỹ thuật số và các biện pháp phát hiện duy nhất liên quan đến Tập đoàn Lazarus.

Elastic đã đặt tên cho hình thức xâm nhập cụ thể này là "REF7001."

Nhóm Lazarus đã hack sàn giao dịch như thế nào?

Mọi chuyện bắt đầu khá đơn giản.

Những kẻ độc hại đã giả mạo danh tính giả trong một nhóm Discord chuyên thảo luận về phần mềm liên quan đến tiền điện tử.

Giống như hầu hết các phần mềm độc hại, chúng đã thao túng một cá nhân không nghi ngờ tải xuống một tệp có vẻ vô hại nhưng trên thực tế, tệp này chứa mã độc.

Nạn nhân có ấn tượng rằng họ đang mua một bot kinh doanh chênh lệch giá tiền điện tử, có khả năng phát hiện sự khác biệt về tỷ giá giữa các sàn giao dịch và thu lợi nhuận từ chênh lệch.

Khi mở tệp này, giai đoạn chính của cuộc tấn công, được gọi là "KANDYKORN" đã được khởi xướng.

Để thực hiện cuộc tấn công, nạn nhân được yêu cầu chạy chương trình.

Đóng vai trò đánh lừa nạn nhân, chương trình ban đầu tỏ ra vô hại khi nó nhập các tệp khác và thực hiện các hoạt động dường như thường lệ.

Khi đó, người dùng sẽ vô tình đóng một vai trò quan trọng trong việc chạy chương trình này, tham gia vào các hành động dường như thường lệ nhưng trên thực tế lại rất cần thiết cho sự thành công của cuộc tấn công.

Sau khi nạn nhân thực hiện chương trình này, cuộc tấn công REF7001 diễn ra qua 5 giai đoạn riêng biệt.

Năm giai đoạn tấn công

Giai đoạn 1 - Chuẩn bị:

Chương trình ban đầu sẽ chạy một chương trình khác một cách riêng biệt. Chương trình cụ thể này sẽ đánh giá môi trường máy tính và chuẩn bị cho giai đoạn tấn công tiếp theo.

Giai đoạn 2 - Tải phần mềm độc hại bổ sung:

Khi môi trường của máy tính đã được xác định chắc chắn, hai tệp khác là tập lệnh Python trung gian sẽ tải xuống và chạy một chương trình có tên "SUGARLOADER."

Giai đoạn 3 - SUGARLOADER:

Chương trình này sẽ thực hiện các hoạt động bí mật hơn nữa. và tạo điều kiện thuận lợi cho việc tải giai đoạn cuối cùng, "KANDYKORN."

Giai đoạn 4 - Ngụy trang thành sự bất hòa:

Tệp có tên "HLOADER/Discord(fake)" sau đó sẽ giả vờ là chương trình Discord hợp pháp. Nó phục vụ như một mưu mẹo để duy trì sự hiện diện của chương trình lừa đảo "SUGARLOADER" trên hệ thống của nạn nhân.

Giai đoạn 5 - "KANDYKORN"

Sau khi thâm nhập được, KANDYKORN sẽ sở hữu rất nhiều khả năng. Nó có thể nhận các lệnh riêng biệt, chẳng hạn như tải xuống từ máy tính khác. Nó cũng có thể kiểm tra thông tin chi tiết của máy tính, gửi và nhận thông tin đến một máy tính khác, thậm chí cấp quyền kiểm soát máy tính cho một thiết bị đầu cuối khác. Tóm lại là vi phạm hoàn toàn.

Elastic theo dõi chiến dịch từ tháng 4 năm 2023.

Họ đã làm điều này bằng cách phân tích khóa mã hóa được sử dụng để bảo mật thông tin liên lạc SUGARLOADER và KANDYKORN C2.

Mối đe dọa vẫn còn tồn tại và dường như tiếp tục trải qua quá trình phát triển cả về công cụ và kỹ thuật.

Nhóm Lazarus

Lazarus là một nhóm gián điệp mạng tiền điện tử nổi tiếng của Triều Tiên.

Họ có lịch sử ít nhất là từ năm 2009.

Do các lệnh trừng phạt xung quanh CHDCND Triều Tiên, mục tiêu của họ là ăn cắp tiền điện tử - vì việc sử dụng tiền kỹ thuật số giúp họ trốn tránh các lệnh trừng phạt quốc tế như vậy.

Tin tặc Triều Tiên đã cố tình đánh cắp khoảng 3,5 tỷ USD từ các dự án tiền điện tử kể từ năm 2016, dựa trên báo cáo từ công ty pháp y chuỗi khối Chainalysis vào ngày 14 tháng 9.

Liên Hợp Quốc suy đoán rằng số tiền bị đánh cắp đang được sử dụng để hỗ trợ chương trình tên lửa hạt nhân của Triều Tiên.

Coinlivebài báo cáo trước về cách Nhóm Lazarus sử dụng LinkedIn để lây nhiễm phần mềm độc hại vào máy tính.