Nhóm hacker khét tiếng Lazarus đổi chiến thuật đánh cắp tiền ảo
Những phát hiện mới về AppleJeus, với hành vi đánh cắp tiền ảo được thực hiện bởi nhóm hacker khét tiếng Lazarus, cho thấy hoạt động của nhóm này đang tiếp tục với động thái cẩn trọng hơn từ nhóm tin tặc.
Giờ đây, những phát hiện mới còn cho thấy hoạt động đánh cắp tiền ảo của AppleJeus đang tiếp tục với động thái cẩn trọng hơn từ nhóm tin tặc, cùng các chiến thuật và quy trình tinh vi, cũng như sử dụng Telegram là một trong những vector tấn công mới.
Các nạn nhân tại Anh, Ba Lan, Nga và Trung Quốc, bao gồm một số tổ chức kết nối với các công ty kinh doanh tiền điện tử cũng đã bị ảnh hưởng.
Lazarus là một trong những nhóm hacker APT hoạt động tích cực nhất, đã thực hiện rất nhiều cuộc tấn công nhắm vào những tổ chức liên quan đến tiền điện tử.
Nhóm hacker khét tiếng Lazarus đổi chiến thuật đánh cắp tiền ảo
Video đang HOT
Trong thời gian đầu hoạt động vào năm 2018, AppleJeus đã tự tạo một công ty tiền điện tử giả mạo để cung cấp ứng dụng đang bị chúng thao túng và lợi dụng lòng tin của nạn nhân để thực hiện tấn công.
Hoạt động này được đánh dấu bằng động thái Lazarus xây dựng phần mềm độc hại tấn công macOS đầu tiên của mình. Ứng dụng được người dùng tải xuống từ các trang web của bên thứ ba và mã độc bị phát tán bằng cách ngụy trang dưới dạng bản cập nhật ứng dụng thông thường. Mã độc cho phép tin tặc giành quyền kiểm soát hoàn toàn thiết bị của người dùng và từ đó đánh cắp tiền ảo.
Các nhà nghiên cứu của Kaspersky đã xác định những thay đổi chiến thuật quan trọng của nhóm tấn công. Vector tấn công năm 2019 về cơ bản khá giống với năm 2018, nhưng được cải tiến hơn. Lần này, Lazarus đã tạo ra các trang web tiền ảo giả, nơi chứa liên kết đến các kênh Telegram giả mạo của tổ chức và phát tán mã độc thông qua trình nhắn tin.
Giống như hoạt động ban đầu của AppleJeus, quá trình tấn công gồm hai giai đoạn. Trước tiên, khi người dùng tải xuống một ứng dụng, trình tải xuống được liên kết sẽ lấy mã độc từ một máy chủ từ xa, cho phép tin tặc kiểm soát hoàn toàn thiết bị bị nhiễm mã độc bằng một backdoor vĩnh viễn.
Tuy nhiên, lần này mã độc được phát tán một cách cẩn trọng để tránh bị phát hiện bởi những giải pháp bảo mật dựa trên hành vi. Đối với những tấn công vào mục tiêu chạy hệ điều hành macOS, một cơ chế xác thực đã được thêm vào trình tải xuống macOS và bộ khung phát triển đã được thay đổi.
Ngoài ra, một kỹ thuật lây nhiễm không chứa tệp cũng được áp dụng. Khi nhắm mục tiêu đến người dùng Windows, tin tặc sẽ tránh sử dụng mã độc Fallchill (được sử dụng trong hoạt động của AppleJeus thời gian đầu) và tạo ra một mã độc chỉ chạy trên những hệ thống cụ thể sau khi kiểm tra chúng theo những tiêu chí nhất định.
Những thay đổi này cho thấy tin tặc đã cẩn trọng hơn khi tiến hành tấn công bằng cách sử dụng nhiều phương pháp mới để tránh bị phát hiện.
Lazarus cũng có những thay đổi đáng kể cũng như tạo ra nhiều phiên bản khác nhau cho mã độc tấn công macOS. Không giống như cuộc tấn công trước đó, khi Lazarus sử dụng mã nguồn mở QtBitcoinTrader để xây dựng trình cài đặt macOS thủ công, thì đối với AppleJeus Sequel, tin tặc bắt đầu sử dụng mã tự chế để xây dựng trình cài đặt độc hại.
Những thay đổi này cho thấy tác nhân đe dọa sẽ tiếp tục cải tiến phần mềm độc hại tấn công macOS và phát hiện gần đây nhất của chúng tôi cũng cho thấy những thay đổi này.
“Những thay đổi và động thái đa dạng hóa mã độc của chúng cho thấy những cuộc tấn công tiền ảo có thể sẽ tăng về số lượng và trở thành mối đe dọa nghiêm trọng trong thời gian tới.”, ông Seongsu Park, Nhà nghiên cứu bảo mật tại Kaspersky cho biết.
Nhóm Lazarus, được biết đến với các hoạt động tấn công tinh vi và có liên kết với Triều Tiên, được ghi nhận không chỉ tiến hành các cuộc tấn công gián điệp và tấn công mạng mà còn thực hiện nhiều cuộc tấn công có động cơ tài chính. Một số nhà nghiên cứu, trong đó có chuyên gia từ Kaspersky, đã từng có báo cáo về hoạt động của nhóm này nhắm mục tiêu vào các ngân hàng và doanh nghiệp tài chính lớn khác.
Theo Viet Nam Net
Tin tặc Trung Quốc tấn công đơn vị viễn thông để thu thập tin tức
Nhóm tin tặc APT41 có liên hệ với chính quyền Bắc Kinh xâm nhập máy chủ của các công ty viễn thông để đánh cắp tin nhắn lẫn lịch sử cuộc gọi.
Chiến dịch gián điệp mạng của Trung Quốc đang phát triển
Theo báo cáo từ công ty an ninh mạng FireEye thì APT41 sử dụng dùng một phần mềm độc hại tên Messagetap dò một số từ khóa như tên nhà lãnh đạo chính trị, tổ chức tình báo hoặc quân sự, phong trào chính trị chống đối giới chức Trung Quốc trong tin nhắn hoặc tìm số điện thoại cụ thể nào đó.
Tin nhắn chứa từ khóa và số điện thoại cần tìm sẽ được lưu lại sau đó rơi vào tay tin tặc. FireEye không công bố danh tính công ty bị tấn công, nhà nghiên cứu Dan Perez cho biết tin tặc theo dõi mạng lưới SMS cấp độ nhà mạng nên trên lý thuyết bất kỳ đơn vị cũng có thể là mục tiêu.
Một điểm đáng chú ý nữa là có vài trường hợp APT41 truy cập là các cuộc gọi giữa cá nhân cấp cao nước ngoài mà tình báo Trung Quốc quan tâm.
"Việc sử dụng Messagetap nhắm vào tin nhắn, lịch sử cuộc gọi nhạy cảm cho thấy chiến dịch gián điệp mạng của Trung Quốc đang phát triển", FireEye cảnh báo.
Theo Một Thế Giới
Nhà mạng Mỹ để nhân viên tráo SIM đánh cắp 1,8 triệu USD tiền ảo Nhà mạng AT&T bị khởi kiện vì để nhân viên thông đồng với tin tặc tráo SIM khách hàng để đánh cắp 1,8 triệu USD tiền ảo. Seth Shapiro đến từ Torrance, California nói rằng AT&T phải chịu trách nhiệm vì không thực thi quy trình kiểm soát nhân viên để họ thông đồng với tin tặc. Nhà mạng Mỹ để nhân viên...