VietNetwork.Vn

Các tác nhân đe dọa từ Triều Tiên đã sử dụng một ứng dụng hội nghị truyền hình Windows giả mạo   Đăng nhập để xem liên kết để tạo cửa hậu cho các hệ thống của nhà phát triển như một phần của chiến dịch tài chính đang diễn ra có tên gọi là Contagious Interview.

Làn sóng tấn công mới, được công ty Group-IB của Singapore phát hiện vào giữa tháng 8 năm 2024, là một dấu hiệu nữa cho thấy hoạt động này cũng đang lợi dụng trình cài đặt gốc cho Windows và Apple macOS để phát tán phần mềm độc hại.


Contagious Interview, còn được theo dõi là DEV#POPPER, là một chiến dịch độc hại được dàn dựng bởi một tác nhân đe dọa đến từ Triều Tiên được CrowdStrike theo dõi dưới biệt danh Famous Chollima.

Chuỗi tấn công bắt đầu bằng một cuộc phỏng vấn xin việc giả định, lừa người tìm việc tải xuống và chạy một dự án Node.js có chứa phần mềm độc hại tải xuống BeaverTail, sau đó cung cấp một cửa hậu Python đa nền tảng được gọi là InvisibleFerret, được trang bị khả năng điều khiển từ xa, ghi lại thao tác phím và đánh cắp trình duyệt.

Một số phiên bản của BeaverTail, cũng có chức năng như một công cụ đánh cắp thông tin, đã biểu hiện dưới dạng phần mềm độc hại JavaScript, thường được phân phối thông qua các gói npm giả mạo như một phần của đánh giá kỹ thuật được cho là trong quá trình phỏng vấn.

Nhưng điều đó đã thay đổi vào tháng 7 năm 2024 khi trình cài đặt Windows MSI và các tệp hình ảnh đĩa (DMG) của Apple macOS ngụy trang thành phần mềm hội nghị truyền hình MiroTalk hợp pháp bị phát hiện ngoài thực tế, đóng vai trò là phương tiện để triển khai phiên bản cập nhật của BeaverTail.

Những phát hiện mới nhất từ Group-IB, nơi cho rằng chiến dịch này do nhóm Lazarus khét tiếng thực hiện, cho thấy rằng kẻ tấn công vẫn đang tiếp tục lợi dụng cơ chế phân phối cụ thể này, điểm khác biệt duy nhất là trình cài đặt ("FCCCall.msi") bắt chước   Đăng nhập để xem liên kết thay vì MiroTalk.

Người ta tin rằng trình cài đặt giả mạo được tải xuống từ một trang web có tên freeconference[.]io, sử dụng cùng một cơ quan đăng ký như trang web mirotalk[.]net giả mạo.

Nhà nghiên cứu bảo mật Sharmine Low cho biết: "Ngoài Linkedin, Lazarus cũng đang tích cực tìm kiếm nạn nhân tiềm năng trên các nền tảng tìm kiếm việc làm khác như WWR, Moonlight, Upwork và các nền tảng khác".

"Sau khi liên hệ ban đầu, họ thường cố gắng chuyển cuộc trò chuyện sang Telegram, nơi họ sẽ yêu cầu những người có khả năng được phỏng vấn tải xuống ứng dụng hội nghị truyền hình hoặc dự án Node.js để thực hiện nhiệm vụ kỹ thuật như một phần của quá trình phỏng vấn."

Trong một dấu hiệu cho thấy chiến dịch đang được tinh chỉnh tích cực, các tác nhân đe dọa đã được quan sát thấy đang tiêm JavaScript độc hại vào cả kho lưu trữ liên quan đến tiền điện tử và trò chơi. Về phần mình, mã JavaScript được thiết kế để truy xuất mã Javascript BeaverTail từ miền ipcheck[.]cloud hoặc regioncheck[.]net.

Điều đáng đề cập ở đây là hành vi này gần đây cũng đã được công ty bảo mật chuỗi cung ứng phần mềm Phylum nêu bật liên quan đến một gói npm có tên helmet-validate, cho thấy rằng những kẻ tấn công đang đồng thời sử dụng các vectơ lan truyền khác nhau.

Một thay đổi đáng chú ý khác là BeaverTail hiện được cấu hình để trích xuất dữ liệu từ nhiều tiện ích mở rộng ví tiền điện tử hơn như Kaikas, Rabby, Argent X và Exodus Web3, ngoài việc triển khai chức năng thiết lập tính bền bỉ bằng AnyDesk.

Không chỉ có vậy. Các tính năng đánh cắp thông tin của BeaverTail hiện được thực hiện thông qua một tập lệnh Python, được gọi chung là CivetQ, có khả năng thu thập cookie, dữ liệu trình duyệt web, các lần nhấn phím và nội dung clipboard, rồi cung cấp thêm nhiều tập lệnh hơn. Tổng cộng có 74 tiện ích mở rộng trình duyệt bị phần mềm độc hại nhắm mục tiêu.

Low cho biết: "Phần mềm độc hại này có thể đánh cắp dữ liệu từ Microsoft Sticky Notes bằng cách nhắm vào các tệp cơ sở dữ liệu SQLite của ứng dụng nằm tại `%LocalAppData%PackagesMicrosoft.MicrosoftStickyNotes_8wekyb3d8bbweLocalStateplum.sqlite`, nơi lưu trữ các ghi chú của người dùng ở định dạng không được mã hóa".

"Bằng cách truy vấn và trích xuất dữ liệu từ cơ sở dữ liệu này, phần mềm độc hại có thể truy xuất và đánh cắp thông tin nhạy cảm từ ứng dụng Sticky Notes của nạn nhân."

Sự xuất hiện của CivetQ cho thấy phương pháp tiếp cận theo mô-đun, đồng thời nhấn mạnh rằng các công cụ này đang được phát triển tích cực và liên tục cải tiến theo từng bước nhỏ trong vài tháng qua.

"Lazarus đã cập nhật chiến thuật, nâng cấp công cụ và tìm ra cách tốt hơn để che giấu hoạt động của mình", Low cho biết. "Chúng không có dấu hiệu nào cho thấy sẽ giảm bớt nỗ lực, với chiến dịch nhắm vào những người tìm việc kéo dài đến năm 2024 và cho đến tận ngày nay. Các cuộc tấn công của chúng ngày càng trở nên sáng tạo hơn và hiện đang mở rộng phạm vi tiếp cận trên nhiều nền tảng hơn".

Tiết lộ này được đưa ra sau khi Cục Điều tra Liên bang Hoa Kỳ (FBI) cảnh báo về các tác nhân mạng Triều Tiên đang nhắm mục tiêu một cách hung hăng vào ngành công nghiệp tiền điện tử bằng cách sử dụng các cuộc tấn công kỹ thuật xã hội "được ngụy trang khéo léo" để tạo điều kiện cho hành vi trộm cắp tiền điện tử.

"Các âm mưu tấn công xã hội của Triều Tiên rất phức tạp và tinh vi, thường nhắm vào những nạn nhân có trình độ kỹ thuật cao", FBI cho biết trong một khuyến cáo được công bố hôm thứ Ba, nêu rõ những kẻ tấn công sẽ tìm kiếm nạn nhân tiềm năng bằng cách xem xét hoạt động truyền thông xã hội của họ trên các nền tảng mạng lưới chuyên nghiệp hoặc liên quan đến việc làm.

"Các nhóm tin tặc nguy hiểm của Triều Tiên xác định các doanh nghiệp liên quan đến DeFi hoặc tiền điện tử cụ thể để nhắm mục tiêu và cố gắng lợi dụng kỹ thuật xã hội để tấn công hàng chục nhân viên của các công ty này nhằm truy cập trái phép vào mạng lưới của công ty."