VietNetwork.Vn

Một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đã bị phát hiện đang nhắm mục tiêu vào các doanh nghiệp liên quan đến tiền điện tử bằng phần mềm độc hại nhiều giai đoạn có khả năng lây nhiễm các thiết bị macOS của Apple.

Công ty an ninh mạng SentinelOne, đặt tên cho chiến dịch là Hidden Risk, đã tin chắc rằng đây là BlueNoroff, trước đây từng có liên quan đến các họ phần mềm độc hại như RustBucket, KANDYKORN, ObjCShellz, RustDoor (hay còn gọi là Thiefbucket) và TodoSwift.


Các nhà nghiên cứu Raffaele Sabato, Phil Stokes và Tom Hegel cho biết trong một báo cáo chia sẻ với The Hacker News rằng hoạt động này "sử dụng email phát tán tin tức giả mạo về xu hướng tiền điện tử để lây nhiễm cho mục tiêu thông qua một ứng dụng độc hại được ngụy trang dưới dạng tệp PDF".

"Chiến dịch này có khả năng bắt đầu sớm nhất vào tháng 7 năm 2024 và sử dụng email và PDF để dụ dỗ bằng các tiêu đề tin tức giả mạo hoặc các câu chuyện về chủ đề liên quan đến tiền điện tử."

Theo tiết lộ của Cục Điều tra Liên bang Hoa Kỳ (FBI) trong bản tư vấn vào tháng 9 năm 2024, các chiến dịch này là một phần của các cuộc tấn công "kỹ thuật xã hội được thiết kế kỹ lưỡng, khó phát hiện" nhằm vào các nhân viên làm việc trong lĩnh vực tài chính phi tập trung (DeFi) và tiền điện tử.

Các cuộc tấn công diễn ra dưới hình thức các cơ hội việc làm giả mạo hoặc đầu tư của công ty, tương tác với mục tiêu trong thời gian dài để xây dựng lòng tin trước khi phát tán phần mềm độc hại.

SentinelOne cho biết họ đã quan sát thấy một nỗ lực lừa đảo qua email vào một ngành liên quan đến tiền điện tử vào cuối tháng 10 năm 2024, trong đó phát tán một ứng dụng dropper mô phỏng tệp PDF ("Rủi ro tiềm ẩn đằng sau đợt tăng giá Bitcoin mới .app") được lưu trữ trên delphidigital[.]org.

Ứng dụng được viết bằng ngôn ngữ lập trình Swift này được phát hiện đã được ký và công chứng vào ngày 19 tháng 10 năm 2024, với ID nhà phát triển của Apple là "Avantis Regtech Private Limited (2S8XHJ7948)." Chữ ký này sau đó đã bị nhà sản xuất iPhone thu hồi.

Khi khởi chạy, ứng dụng sẽ tải xuống và hiển thị cho nạn nhân một tệp PDF giả mạo được lấy từ Google Drive, trong khi bí mật lấy tệp thực thi giai đoạn thứ hai từ máy chủ từ xa và thực thi tệp đó. Tệp thực thi Mach-O x86-64, tệp nhị phân không được ký dựa trên C++ hoạt động như một cửa hậu để thực thi các lệnh từ xa.

Cửa hậu này cũng kết hợp một cơ chế duy trì mới có thể lợi dụng tệp cấu hình zshenv, đánh dấu lần đầu tiên kỹ thuật này bị tác giả phần mềm độc hại lạm dụng trong thực tế.

Các nhà nghiên cứu cho biết: "Tính năng này đặc biệt có giá trị trên các phiên bản macOS hiện đại vì Apple đã giới thiệu tính năng thông báo cho người dùng về các Mục đăng nhập nền kể từ macOS 13 Ventura".

"Thông báo của Apple nhằm mục đích cảnh báo người dùng khi phương pháp duy trì được cài đặt, đặc biệt là LaunchAgents và LaunchDaemons thường bị lạm dụng. Tuy nhiên, việc lạm dụng Zshenv không kích hoạt thông báo như vậy trong các phiên bản macOS hiện tại."

Kẻ tấn công cũng được phát hiện sử dụng công ty đăng ký tên miền Namecheap để thiết lập cơ sở hạ tầng tập trung vào các chủ đề liên quan đến tiền điện tử, Web3 và đầu tư để tạo vẻ ngoài hợp pháp. Quickpacket, Routerhosting và Hostwinds là một trong những nhà cung cấp dịch vụ lưu trữ được sử dụng phổ biến nhất.

Điều đáng chú ý là chuỗi tấn công này có một số điểm trùng lặp với một chiến dịch trước đó mà Kandji đã nêu bật vào tháng 8 năm 2024, cũng sử dụng ứng dụng dropper trên macOS có tên tương tự là "Risk factors for Bitcoin's price decay are emerging(2024) .app" để triển khai TodoSwift.

Không rõ điều gì đã thúc đẩy các tác nhân đe dọa thay đổi chiến thuật của họ, và liệu đó có phải là để đáp lại báo cáo công khai hay không. "Các tác nhân Bắc Triều Tiên được biết đến với sự sáng tạo, khả năng thích ứng và nhận thức về các báo cáo về hoạt động của họ, vì vậy hoàn toàn có thể chúng ta chỉ đang thấy các phương pháp thành công khác nhau xuất hiện từ chương trình tấn công mạng của họ", Stokes nói với The Hacker News.

Một khía cạnh đáng lo ngại khác của chiến dịch này là khả năng BlueNoroff có được hoặc chiếm đoạt các tài khoản nhà phát triển hợp lệ của Apple và sử dụng chúng để công chứng phần mềm độc hại của họ với Apple.

Các nhà nghiên cứu cho biết: "Trong khoảng 12 tháng trở lại đây, các tác nhân mạng Triều Tiên đã tham gia vào một loạt các chiến dịch chống lại các ngành công nghiệp liên quan đến tiền điện tử, nhiều trong số đó bao gồm việc 'chuẩn bị' các mục tiêu thông qua mạng xã hội".

"Chiến dịch Hidden Risk chuyển hướng khỏi chiến lược này bằng cách áp dụng phương pháp lừa đảo qua email truyền thống và thô sơ hơn, mặc dù không nhất thiết là kém hiệu quả hơn. Bất chấp sự thẳng thắn của phương pháp lây nhiễm ban đầu, những dấu hiệu khác của các chiến dịch trước đây do CHDCND Triều Tiên hậu thuẫn vẫn rõ ràng."

Sự phát triển này cũng diễn ra trong bối cảnh các chiến dịch khác do tin tặc Triều Tiên thực hiện nhằm tìm kiếm việc làm tại nhiều công ty phương Tây và phát tán phần mềm độc hại bằng các cơ sở mã hóa và công cụ hội nghị có bẫy tới những người tìm việc tiềm năng dưới chiêu bài thử thách tuyển dụng hoặc nhiệm vụ.

Hai nhóm xâm nhập, được gọi là Wagemole (hay còn gọi là UNC5267) và Contagious Interview, đã được cho là thuộc về một nhóm đe dọa được theo dõi là Famous Chollima (hay còn gọi là CL-STA-0240 và Tenacious Pungsan).

ESET, công ty đặt cho Contagious Interview biệt danh DeceptiveDevelopment, đã phân loại nó là nhóm hoạt động mới của Lazarus Group, tập trung vào các nhà phát triển tự do trên toàn thế giới với mục đích đánh cắp tiền điện tử.

Nhà nghiên cứu Seongsu Park của Zscaler ThreatLabz cho biết vào đầu tuần này: "Các chiến dịch Contagious Interview và Wagemole cho thấy các chiến thuật ngày càng thay đổi của các tác nhân đe dọa từ Triều Tiên khi họ tiếp tục đánh cắp dữ liệu, tạo việc làm từ xa ở các nước phương Tây và lách lệnh trừng phạt tài chính".

"Với các kỹ thuật che giấu tinh vi, khả năng tương thích đa nền tảng và tình trạng trộm cắp dữ liệu tràn lan, các chiến dịch này đang trở thành mối đe dọa ngày càng gia tăng đối với cả doanh nghiệp và cá nhân."