Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

APT Lazarus nhắm tới các ví tiền điện tử trong chiến dịch tấn công mới

Updated
5 min read
APT Lazarus nhắm tới các ví tiền điện tử trong chiến dịch tấn công mới
M
Mai Đức Nam Anh
Part of seriesNewsletters

Trong báo cáo gần đây từ các nhà nghiên cứu bảo mật của Bitdenfender cho biết, nhóm tin tặc APT Lazarus đang triển khai một chiến dịch tấn công mới thông qua các lời mời việc làm giả mạo trên nền tảng LinkedIn, từ đó phát tán mã độc đánh cắp thông tin trong ví tiền điện tử của nạn nhân.

Lazarus Group hay còn được biết đến với cái tên APT38, là một nhóm tội phạm mạng được cho rằng có liên quan tới Chính phủ Triều Tiên. Nhóm là tác nhân của hàng loạt các cuộc tấn công mạng gây thiệt hại lớn trong khu vực Châu Á - Thái Bình Dương trong khoảng tời gian từ 2009 tới nay. Đáng chú ý, Ngân hàng Thương mại Cổ phần Tiên Phong - TPBank của Việt Nam đã từng trở thành nạn nhân của Lazarus khi thiệt hại khoảng 1 triệu Đô la Mỹ trong một chiến dịch tấn công của nhóm.

Kịch bản tấn công

Chiến dịch mới nhất của nhóm được phát hiện trong khoảng thời gian gần đây khi nhóm này đã cố liên lạc với một nhà nghiên cứu bảo mật thuộc Bitdenfender qua nền tảng tuyển dụng LinkedIn.

Nhóm tin tặc tạo ra thông tin tuyển dụng cho một sàn giao dịch tiền điện tử phi tập trung. Với mức đãi ngộ hấp dẫn, thời gian làm việc linh hoạt và có thể làm việc từ xa, không khó để những thông tin trên dụ dỗ được số lượng lớn nạn nhân. Ngoài ra nhóm tin tặc cũng tạo ra các tin tuyển dụng giả mạo liên quan đến lĩnh vực du lịch hoặc tài chính.

Nạn nhân được trải qua các cuộc phỏng vấn tuyển dụng ảo, được yêu cầu cung cấp CV của bản thân, đồng thời được yêu cầu liên kết với kho lưu trữ (repository) cá nhân trên Github. Đây được cho là hành động thu thập thông tin và gia tăng tính hợp pháp cho cuộc trò chuyện, khiến nạn nhân không nảy sinh bất kỳ sự nghi ngờ nào.

Sau khi nhận được thông tin yêu cầu liên kết, tin tặc sẽ chia sẻ kho lưu trữ có chứa MVP (minimum viable product - sản phẩm khả thi tối thiểu) cho nạn nhân, đồng thời đưa ra các câu hỏi có liên quan nhằm điều hướng nạn nhân thực hiện các demo tương ứng.

Đoạn mã nạn nhân nhận được thoạt nhìn có vẻ là vô hại, tuy nhiên một phần đoạn mã trong nó bị xáo trộn, chứa đoạn mã tự động tải xuống mã độc từ một bên thứ ba. Mã độc này có chức năng đánh cắp thông tin đa nền tảng, có thể được triển khai trên các hệ điều hành Windows, MacOS và Linux. Trình đánh cắp thông tin này được thiết kế để nhắm tới các ví tiền ảo phổ biến thông qua những tiện ích mở rộng trên trình duyệt web theo các ID như sau:

Một khi được triển khai trên hệ thống, mã độc này tiến hành tải xuống thêm một tệp tin được viết bằng Python có tên main99_65.py cùng với các mô-đun bổ sung làm tiền đề cho các hoạt động độc hại tiếp theo như triển khai backdoor, triển khai stealer, triển khai keylogger và thu thập thông tin. Thông tin chúng thu thập được bao gồm:

  • Thông tin tên của máy bị nhiễm.

  • Thông tin tên người dùng.

  • Thông tin về hệ điều hành đang sử dụng.

  • Thông tin về CPU, số lượng nhân và luồng.

  • Thông tin về GPU.

  • Thông tin về RAM.

  • Thông tin địa chỉ IP công khai, vị trí vật lý.

Khuyến nghị

Việc phát triển của các nền tảng việc làm giúp mọi người thuận tiện hơn trong sự nghiệp của bản thân, đồng thời cũng mang tới nhiều mặt trái khi nó tạo tiền đề cho các cuộc tấn công sử dụng kỹ thuật xã hội (social engineering) từ tin tặc. Mỗi người nên nâng cao sự cảnh giác đối với bất kỳ lời mời tuyển dụng nào không rõ ràng hay có dấu hiệu khả nghi, mặt khác cũng cần nâng cao nhận thức cá nhân đến các vấn đề liên quan tới an toàn không gian mạng.

Một vài dấu hiệu cảnh báo cũng như lời khuyên được các nhà nghiên cứu bảo mật thuộc Bitdenfender đưa ra như sau:

  • Dấu hiệu cảnh báo:

    • Mô tả công việc đáng ngờ: Không có tin tuyển dụng tương ứng trên nền tảng LinkedIn hoặc phần mô tả công việc không rõ ràng là dấu hiệu mà mọi người cần đặt nghi vấn.

    • Kho lưu trữ đáng ngờ: Các kho lưu trữ thuộc về người dùng có tên ngẫu nhiên và thiếu tài liệu hoặc đóng góp thích hợp.

    • Giao tiếp giữa nhà tuyển dụng có vấn đề: Trong quá trình trao đổi tuyển dụng, nhà tuyển dụng mắc nhiều lỗi chính tả hoặc từ chối cung cấp các phương thức liên hệ thay thế như email hoặc số điện thoại của công ty đều là những điểm bất thường, cần được đặt nghi vấn.

  • Khuyến nghị:

    • Không chạy các đoạn mã chưa được xác minh: Nên sử dụng máy ảo, sandbox hoặc các nền tảng trực tuyến để kiểm tra những đoạn mã một cách an toàn.

    • Xác minh tính xác thực: Kiểm tra chéo lời mời làm việc với các trang web chính thức của công ty, đồng thời xác thực tên miền của email.

    • Nâng cao cảnh giác: Trong quá trình trao đổi công việc, tuyệt đối thận trọng khi tiết lộ các thông tin cá nhân nhạy cảm khi được yêu cầu cung cấp.

Tham khảo

  1. Bitdenfender Anti-Malware Research: https://www.bitdefender.com/en-us/blog/labs/lazarus-group-targets-organizations-with-sophisticated-linkedin-recruiting-scam
#repost#fiscybersec#threat-intelligence#lazarus-group#apt38

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

731 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.