Nhóm hacker Lazarus lợi dụng Telegram để tấn công cướp “tiền ảo”

Các nhà nghiên cứu bảo mật đã đặt tên cho làn sóng chiến thuật mới là Chiến dịch AppleJeus Sequel. Một sự phát triển của chiến dịch AppleJeus đã được phát hiện trở lại vào năm 2018 và diễn ra trong suốt năm 2019.

Các nạn nhân tại Anh, Ba Lan, Nga và Trung Quốc, bao gồm một số tổ chức kết nối với các công ty kinh doanh tiền điện tử cũng đã bị ảnh hưởng.

Lazarus là một trong những nhóm hacker APT hoạt động tích cực nhất, đã thực hiện rất nhiều cuộc tấn công nhắm vào những tổ chức liên quan đến tiền điện tử.

Hình thức tấn công của nhóm hacker này từ năm 2018 đến nay là dụ dỗ người dùng giao dịch trên các ứng dụng sàn giao dịch điện tử giả mạo, từ đó ăn cắp thông tin của nạn nhân.

Hoạt động này được đánh dấu bằng động thái Lazarus xây dựng phần mềm độc hại tấn công macOS đầu tiên của mình. Ứng dụng được người dùng tải xuống từ các trang web của bên thứ ba và mã độc bị phát tán bằng cách ngụy trang dưới dạng bản cập nhật ứng dụng thông thường. Mã độc cho phép tin tặc giành quyền kiểm soát hoàn toàn thiết bị của người dùng và từ đó đánh cắp tiền ảo.

Sang năm 2019, Kaspersky cho biết Lazarus đã cải tiến cách thức tấn công. Lazarus đã tạo ra các trang web tiền ảo giả, nơi chứa liên kết đến các kênh Telegram giả mạo của tổ chức và phát tán mã độc thông qua trình nhắn tin.

Giống như hoạt động ban đầu của AppleJeus, quá trình tấn công gồm hai giai đoạn. Trước tiên, khi người dùng tải xuống một ứng dụng, trình tải xuống được liên kết sẽ lấy mã độc từ một máy chủ từ xa, cho phép tin tặc kiểm soát hoàn toàn thiết bị bị nhiễm mã độc bằng một backdoor vĩnh viễn. Tuy nhiên, lần này mã độc được phát tán một cách cẩn trọng để tránh bị phát hiện bởi những giải pháp bảo mật dựa trên hành vi.

Đối với những tấn công vào mục tiêu chạy hệ điều hành macOS, một cơ chế xác thực đã được thêm vào trình tải xuống macOS và bộ khung phát triển đã được thay đổi. Ngoài ra, một kỹ thuật lây nhiễm không chứa tệp cũng được áp dụng. Khi nhắm mục tiêu đến người dùng Windows, tin tặc sẽ tránh sử dụng mã độc Fallchill (được sử dụng trong hoạt động của AppleJeus thời gian đầu) và tạo ra một mã độc chỉ chạy trên những hệ thống cụ thể sau khi kiểm tra chúng theo những tiêu chí nhất định. Những thay đổi này cho thấy tin tặc đã cẩn trọng hơn khi tiến hành tấn công bằng cách sử dụng nhiều phương pháp mới để tránh bị phát hiện.

 

Ông Seongsu Park, nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Giai đoạn tiếp theo trong hoạt động của AppleJeus minh chứng rằng, mặc cho dấu hiệu chững lại của thị trường tiền điện tử gần đây, Lazarus vẫn tiếp tục đầu tư vào những cuộc tấn công liên quan đến tiền ảo, khiến chúng trở nên ngày càng tinh vi. Những thay đổi và động thái đa dạng hóa mã độc của chúng cho thấy những cuộc tấn công tiền ảo có thể sẽ tăng về số lượng và trở thành mối đe dọa nghiêm trọng trong thời gian tới”.

Nhóm Lazarus, được biết đến với các hoạt động tấn công tinh vi và có liên kết với Triều Tiên, được ghi nhận không chỉ tiến hành các cuộc tấn công gián điệp và tấn công mạng mà còn thực hiện nhiều cuộc tấn công có động cơ tài chính. Một số nhà nghiên cứu, trong đó có chuyên gia từ Kaspersky, đã từng có báo cáo về hoạt động của nhóm này nhắm mục tiêu vào các ngân hàng và doanh nghiệp tài chính lớn khác.

Để bảo vệ tổ chức khỏi các cuộc tấn công tiền ảo, Kaspersky khuyên các doanh nghiệp tiền điện tử áp dụng các biện pháp sau:

- Đào tạo, nâng cao nhận thức bảo mật cơ bản cho nhân viên để họ có thể phân biệt các hoạt động lừa đảo

- Thực hiện đánh giá bảo mật ứng dụng. Việc này có thể giúp tổ chức chứng minh độ tin cậy của mình với những nhà đầu tư tiềm năng

- Giám sát các lỗ hổng mới xuất hiện trong quá trình thực hiện hợp đồng thông minh

Đối với người dùng đã biết về tiền điện tử hoặc đang có ý định sử dụng, Kaspersky khuyến nghị:

- Chỉ sử dụng các nền tảng tiền điện tử đáng tin cậy và đã được bảo đảm

- Không nhấp vào các liên kết đáng ngờ dẫn đến ngân hàng trực tuyến hoặc ví web.

Và nói chung, phần mềm bảo mật, diệt virus vẫn luôn nên có mặt trên máy người dùng.