Tin tặc Triều Tiên lập công ty giả tại Hoa Kỳ để dụ các nhà phát triển tiền điện tử vào bẫy phần mềm độc hại

Tin tặc Triều Tiên lập công ty Hoa Kỳ để nhắm vào các nhà phát triển tiền điện tử

Công ty an ninh mạng Silent Push tiết lộ rằng các tin tặc Triều Tiên có liên quan đến Tập đoàn Lazarus đã âm thầm thành lập hai công ty tại Hoa Kỳ như một phần của chiến dịch xâm nhập vào lĩnh vực tiền điện tử.

Các công ty BlockNovas LLC và SoftGlide LLC được đăng ký lần lượt tại New Mexico và New York và đóng vai trò là bình phong để phân phối phần mềm độc hại cho các nhà phát triển trong ngành công nghiệp tiền điện tử.

Các công ty giả mạo, mối đe dọa thực sự đằng sau mặt trận doanh nghiệp

Sử dụng danh tính và địa chỉ giả, những kẻ tấn công đã tạo ra ảo giác về các doanh nghiệp hợp pháp có trụ sở tại Hoa Kỳ.

Các nhà nghiên cứu của Silent Push cho biết hoạt động này được chỉ đạo bởi một nhóm nhỏ trong Lazarus có tên là “Contagious Interview”.

Nhóm này đã thành lập một công ty giả thứ ba là Angeloper Agency, không được đăng ký tại Hoa Kỳ nhưng có liên quan đến cùng một nỗ lực phát tán phần mềm độc hại.

Điều khiến vụ việc trở nên đặc biệt đáng báo động là những thực thể này không chỉ là mặt tiền của trang web — chúng được hợp nhất chính thức bằng dữ liệu giả mạo, với toàn bộ nhóm giả được xây dựng bằng hồ sơ nhân viên do AI tạo ra.

Nguồn: Silent Push

"Mehmet Demir" là một nhân vật giả mạo được tạo ra trên LinkedIn, với kinh nghiệm làm việc của anh ta liệt kê hai công ty bình phong, giúp tăng thêm tính hợp pháp cho hoạt động này. (Nguồn: Silent Push)

Phần mềm độc hại đã được phát tán như thế nào thông qua bẫy phỏng vấn xin việc

Chiến dịch này chủ yếu dựa vào các chiến thuật phỏng vấn xin việc gian lận.

Các nhà phát triển đang tìm kiếm việc làm trong lĩnh vực tiền điện tử đã bị thu hút bởi những lời mời làm việc giả mạo từ các công ty bình phong này.

Sau khi thiết lập được liên lạc, phần mềm độc hại sẽ được gửi dưới dạng tài liệu liên quan đến công việc.

Mục tiêu là đánh cắp thông tin đăng nhập ví và dữ liệu nhạy cảm có thể cho phép thực hiện các cuộc tấn công tiếp theo vào nền tảng tiền điện tử.

Silent Push đã liên kết các tên miền như `blocknovas[.]com`, `apply-blocknovas[.]site` và `lianxinxiao[.]com` với hoạt động này, cho thấy một mạng lưới cơ sở hạ tầng được phối hợp được thiết kế để mô phỏng các trang web tuyển dụng hợp pháp.

Nguồn: Silent Push

Nguồn: Silent Push

Một cuốn sách hướng dẫn quen thuộc với kết quả hàng tỷ đô la

Chiến dịch mới nhất này có nét tương đồng với các vụ vi phạm nghiêm trọng trước đây.

Nhóm Lazarus nổi tiếng với việc nhắm vào nhiều cá nhân thông qua các chiêu dụ việc làm giả mạo.

Năm 2021, một chiến lược tương tự đã được sử dụng để xâm nhập Sky Mavis, dẫn đến vụ hack Ronin Bridge trị giá 625 triệu đô la.

Vào năm 2022, một vụ lừa đảo công việc khác đã dẫn đến vụ trộm 100 triệu đô la từ Cầu Horizon của Harmony.

Theo ước tính của Liên Hợp Quốc và công ty phân tích chuỗi khối Chainalysis, kể từ năm 2017, các hoạt động liên quan đến Lazarus đã đánh cắp hơn 3 tỷ đô la tiền điện tử.

Những chiến dịch này đã trở thành phương pháp thường dùng của các đơn vị mạng do nhà nước Triều Tiên tài trợ.

Những công ty này được đăng ký như thế nào mà không bị phát hiện?

Những kẻ tấn công đã sử dụng thông tin cá nhân giả mạo và ảnh đại diện theo kiểu deepfake để đăng ký công ty và xây dựng trang web doanh nghiệp.

Theo Kasey Best, giám đốc tình báo về mối đe dọa tại Silent Push,

“Đây là một ví dụ hiếm hoi về việc tin tặc Triều Tiên thực sự thành lập được các pháp nhân công ty hợp pháp tại Hoa Kỳ để tạo ra mặt trận công ty nhằm tấn công những người xin việc không hề hay biết.”

Quy mô và tham vọng của hoạt động này làm nổi bật các chiến thuật đang phát triển được các đơn vị mạng của Triều Tiên sử dụng để đi trước sự phát hiện và giám sát của cơ quan quản lý, tận dụng uy tín của công ty Hoa Kỳ để giành được sự tin tưởng từ các chuyên gia tiền điện tử trên toàn thế giới.