VietNetwork.Vn

Các tác nhân đe dọa có liên hệ với Triều Tiên đã bị phát hiện lợi dụng LinkedIn để nhắm vào các nhà phát triển như một phần của hoạt động tuyển dụng việc làm giả.

Trong báo cáo mới về các mối đe dọa mà ngành Web3 phải đối mặt, Mandiant, công ty con của Google, cho biết các cuộc tấn công này sử dụng các bài kiểm tra mã hóa như một phương thức lây nhiễm ban đầu phổ biến.


Các nhà nghiên cứu Robert Wallace, Blas Kojusner và Joseph Dobson cho biết: "Sau cuộc trò chuyện ban đầu, kẻ tấn công đã gửi một tệp ZIP chứa phần mềm độc hại COVERTCATCH được ngụy trang dưới dạng một thử thách viết mã Python".

Phần mềm độc hại này hoạt động như một bệ phóng để xâm nhập vào hệ thống macOS của mục tiêu bằng cách tải xuống phần mềm độc hại giai đoạn thứ hai để thiết lập sự tồn tại thông qua Launch Agent và Launch Daemon.

Điều đáng chú ý là đây chỉ là một trong nhiều nhóm hoạt động – cụ thể là Chiến dịch Dream Job, Phỏng vấn lây nhiễm và nhiều hoạt động khác – do các nhóm tin tặc Triều Tiên thực hiện, sử dụng các biện pháp ngụy trang liên quan đến công việc để lây nhiễm phần mềm độc hại vào mục tiêu.

Các chiêu dụ tuyển dụng cũng là một chiến thuật phổ biến để phát tán các nhóm phần mềm độc hại như RustBucket và KANDYKORN.


Mandiant cho biết họ đã phát hiện một chiến dịch tấn công kỹ thuật xã hội phát tán tệp PDF độc hại được ngụy trang dưới dạng mô tả công việc của "Phó chủ tịch tài chính và vận hành" tại một sàn giao dịch tiền điện tử lớn.

"PDF độc hại đã thả phần mềm độc hại giai đoạn thứ hai được gọi là RustBucket, đây là một cửa hậu được viết bằng Rust hỗ trợ thực thi tệp."

Phần mềm cấy ghép RustBucket được trang bị để thu thập thông tin hệ thống cơ bản, giao tiếp với URL được cung cấp qua dòng lệnh và thiết lập tính bền bỉ bằng cách sử dụng Launch Agent ngụy trang thành "Bản cập nhật Safari" để liên hệ với miền chỉ huy và kiểm soát (C2) được mã hóa cứng.

Mục tiêu tấn công của Triều Tiên vào các tổ chức Web3 không chỉ dừng lại ở kỹ thuật xã hội mà còn bao gồm các cuộc tấn công chuỗi cung ứng phần mềm, như đã thấy trong các sự cố nhắm vào 3CX và JumpCloud trong những năm gần đây.

Mandiant cho biết: "Khi đã thiết lập được chỗ đứng thông qua phần mềm độc hại, kẻ tấn công sẽ chuyển sang trình quản lý mật khẩu để đánh cắp thông tin đăng nhập, thực hiện trinh sát nội bộ thông qua kho lưu trữ mã và tài liệu, sau đó chuyển sang môi trường lưu trữ đám mây để tiết lộ khóa ví nóng và cuối cùng là rút tiền".

Tiết lộ này được đưa ra trong bối cảnh Cục Điều tra Liên bang Hoa Kỳ (FBI) đưa ra cảnh báo về các tác nhân đe dọa từ Triều Tiên nhắm vào ngành công nghiệp tiền điện tử bằng cách sử dụng "các chiến dịch tấn công kỹ thuật xã hội được thiết kế riêng và khó phát hiện".

Những nỗ lực đang diễn ra này, mạo danh các công ty hoặc cá nhân tuyển dụng mà nạn nhân có thể biết trực tiếp hoặc gián tiếp với các lời đề nghị việc làm hoặc đầu tư, được coi là phương tiện cho các vụ trộm tiền điện tử trắng trợn nhằm tạo ra thu nhập bất hợp pháp cho vương quốc ẩn dật, vốn đang chịu lệnh trừng phạt quốc tế.

Đáng chú ý trong số các chiến thuật được sử dụng bao gồm xác định các doanh nghiệp liên quan đến tiền điện tử đáng quan tâm, tiến hành nghiên cứu tiền hoạt động sâu rộng về mục tiêu trước khi bắt đầu liên lạc và dựng lên các kịch bản giả mạo được cá nhân hóa nhằm thu hút các nạn nhân tiềm năng và tăng khả năng thành công cho các cuộc tấn công.

FBI cho biết: "Những kẻ tấn công có thể tham khảo thông tin cá nhân, sở thích, mối quan hệ, sự kiện, mối quan hệ cá nhân, kết nối nghề nghiệp hoặc các chi tiết mà nạn nhân tin rằng ít người biết", đồng thời nhấn mạnh đến những nỗ lực xây dựng mối quan hệ và cuối cùng là phát tán phần mềm độc hại.

"Nếu thành công trong việc thiết lập liên lạc hai chiều, tác nhân ban đầu hoặc một thành viên khác trong nhóm của tác nhân đó có thể dành nhiều thời gian tương tác với nạn nhân để tăng cảm giác hợp pháp và tạo ra sự quen thuộc và tin tưởng."