VietNetwork.Vn

Các tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK hay còn gọi là Bắc Triều Tiên) đã bị phát hiện nhúng phần mềm độc hại vào các ứng dụng Flutter, đánh dấu lần đầu tiên chiến thuật này được kẻ tấn công áp dụng để lây nhiễm các thiết bị macOS của Apple.

Jamf Threat Labs, đơn vị đã phát hiện ra điều này dựa trên các hiện vật được tải lên nền tảng VirusTotal vào đầu tháng này, cho biết các ứng dụng được xây dựng bằng Flutter là một phần của hoạt động rộng hơn bao gồm phần mềm độc hại được viết bằng Golang và Python.


Hiện tại, người ta vẫn chưa biết những mẫu này được phân phối cho nạn nhân như thế nào và liệu chúng có được sử dụng để chống lại bất kỳ mục tiêu nào không hoặc liệu những kẻ tấn công có đang chuyển sang phương thức phân phối mới hay không. Tuy nhiên, những kẻ đe dọa từ Triều Tiên được biết đến là tham gia vào các nỗ lực tấn công kỹ thuật xã hội rộng rãi nhắm vào nhân viên của các doanh nghiệp tiền điện tử và tài chính phi tập trung.

"Chúng tôi nghi ngờ những ví dụ cụ thể này đang thử nghiệm", Jaron Bradley, giám đốc tại Jamf Threat Labs, nói với The Hacker News. "Có thể chúng vẫn chưa được phân phối. Thật khó để nói. Nhưng đúng là như vậy. Các kỹ thuật kỹ thuật xã hội của kẻ tấn công đã hoạt động rất tốt trong quá khứ và chúng tôi nghi ngờ chúng sẽ tiếp tục sử dụng các kỹ thuật này".

Jamf không quy kết hoạt động độc hại này cho một nhóm tin tặc cụ thể có liên hệ với Triều Tiên, mặc dù họ cho biết có khả năng đây là hoạt động của một nhóm nhỏ Lazarus có tên là BlueNoroff. Mối liên hệ này bắt nguồn từ sự chồng chéo về cơ sở hạ tầng với phần mềm độc hại được gọi là KANDYKORN và chiến dịch Hidden Risk gần đây được Sentinel One nêu bật.

Điểm nổi bật của phần mềm độc hại mới này là việc sử dụng ứng dụng Flutter, một khuôn khổ phát triển ứng dụng đa nền tảng, để nhúng tải trọng chính được viết bằng Dart, trong khi ngụy trang thành trò chơi Minesweeper đầy đủ chức năng. Ứng dụng này có tên là "Bản cập nhật mới trong Crypto Exchange (2024-08-28)."


Hơn nữa, trò chơi này có vẻ là bản sao của trò chơi Flutter cơ bản dành cho iOS có sẵn công khai trên GitHub. Điều đáng chú ý là việc sử dụng các mồi nhử theo chủ đề trò chơi cũng đã được phát hiện kết hợp với một nhóm tin tặc Triều Tiên khác được theo dõi là Moonstone Sleet.

Các ứng dụng này cũng đã được ký và công chứng bằng ID nhà phát triển của Apple là BALTIMORE JEWISH COUNCIL, INC. (3AKYHFR584) và FAIRBANKS CURLING CLUB INC. (6W69GC943U), cho thấy rằng những kẻ đe dọa có thể bỏ qua quy trình công chứng của Apple. Các chữ ký này đã bị Apple thu hồi.

Sau khi khởi chạy, phần mềm độc hại sẽ gửi yêu cầu mạng đến máy chủ từ xa ("mbupdate.linkpc[.]net") và được cấu hình để thực thi mã AppleScript nhận được từ máy chủ, nhưng trước đó mã này đã được viết ngược lại.

Jamf cho biết họ cũng xác định được các biến thể của phần mềm độc hại được viết bằng Go và Python, với phần sau được xây dựng bằng Py2App. Các ứng dụng - được đặt tên là NewEra cho Stablecoin và DeFi, CeFi (Protected).app và   Đăng nhập để xem liên kết - được trang bị các khả năng tương tự để chạy bất kỳ tải trọng AppleScript nào nhận được trong phản hồi HTTP của máy chủ.

Diễn biến mới nhất là dấu hiệu cho thấy các tác nhân đe dọa từ CHDCND Triều Tiên đang tích cực phát triển phần mềm độc hại sử dụng nhiều ngôn ngữ lập trình để xâm nhập vào các công ty tiền điện tử.

"Phần mềm độc hại được phát hiện từ tác nhân trong những năm qua có nhiều biến thể khác nhau với các lần lặp lại được cập nhật thường xuyên", Bradley cho biết. "Chúng tôi nghi ngờ điều này là do nỗ lực không bị phát hiện và giữ cho phần mềm độc hại trông khác nhau trên mỗi bản phát hành. Trong trường hợp của ngôn ngữ Dart, chúng tôi nghi ngờ là do tác nhân phát hiện ra rằng các ứng dụng Flutter tạo ra sự mơ hồ lớn do kiến trúc ứng dụng của chúng sau khi được biên dịch".