Lazarus Group tăng cường tấn công mạng vào thị trường tiền điện tử, triển khai phần mềm độc hại tinh vi thông qua các ứng dụng video giả mạo và mở rộng mục tiêu vào các tiện ích mở rộng của trình duyệt.
Nhóm tin tặc khét tiếng của Triều Tiên Lazarus Group, nổi tiếng với các chiến dịch mạng tinh vi chống lại ngành công nghiệp tiền điện tử, đang tăng cường nỗ lực nhắm vào các chuyên gia và nhà phát triển tiền điện tử. Nhóm này đã giới thiệu các biến thể phần mềm độc hại mới và mở rộng trọng tâm sang các ứng dụng hội nghị truyền hình, theo báo cáo nghiên cứu gần đây của Group-IB, một công ty an ninh mạng.
Vào năm 2024, Lazarus đã mở rộng các cuộc tấn công của mình bằng chiến dịch “Contagious Interview”, lừa những người tìm việc tải xuống phần mềm độc hại được ngụy trang thành các nhiệm vụ liên quan đến công việc. Kế hoạch này hiện có một ứng dụng hội nghị truyền hình giả mạo có tên là “FCCCall” bắt chước phần mềm thực và cài đặt phần mềm độc hại BeaverTail, sau đó triển khai backdoor dựa trên Python “InvisibleFerret”.
“Chức năng cốt lõi của BeaverTail vẫn không thay đổi: nó trích xuất thông tin đăng nhập từ trình duyệt và dữ liệu từ tiện ích mở rộng trình duyệt ví tiền điện tử.”
Nhóm-IB
Bạn cũng có thể thích: Nhóm tin tặc Lazarus tung ra phương pháp mới để tấn công mạng
Các nhà nghiên cứu của Group-IB cũng đã xác định một bộ tập lệnh Python mới có tên là "CivetQ" là một phần trong bộ công cụ đang phát triển của Lazarus. Các chiến thuật của nhóm này hiện bao gồm sử dụng Telegram để trích xuất dữ liệu và mở rộng phạm vi tiếp cận của chúng đến các kho lưu trữ liên quan đến trò chơi, trojan hóa các dự án dựa trên Node.js để phát tán phần mềm độc hại của chúng.
“Sau khi liên hệ ban đầu, họ thường cố gắng chuyển cuộc trò chuyện sang Telegram, nơi họ [tin tặc] sẽ yêu cầu những người được phỏng vấn tiềm năng tải xuống ứng dụng hội nghị truyền hình hoặc dự án Node.js để thực hiện nhiệm vụ kỹ thuật như một phần của quá trình phỏng vấn.”
Nhóm-IB
Các nhà phân tích tại Group-IB nhấn mạnh rằng chiến dịch mới nhất của Lazarus nhấn mạnh vào sự tập trung ngày càng tăng của chúng vào các tiện ích mở rộng trình duyệt ví tiền điện tử, đồng thời cho biết thêm rằng những kẻ xấu hiện đang nhắm mục tiêu vào danh sách ngày càng tăng các ứng dụng bao gồm MetaMask, Coinbase, BNB Chain Wallet, TON Wallet và Exodus Web3, cùng nhiều ứng dụng khác.
Nhóm này cũng đã phát triển những phương pháp tinh vi hơn để che giấu mã độc hại, khiến việc phát hiện trở nên khó khăn hơn.
Sự leo thang này phản ánh xu hướng rộng hơn được FBI nêu bật, gần đây đã cảnh báo rằng các tác nhân mạng của Triều Tiên đang nhắm mục tiêu vào các nhân viên trong lĩnh vực tài chính phi tập trung và tiền điện tử bằng các chiến dịch kỹ thuật xã hội chuyên biệt cao. Theo FBI, các chiến thuật tinh vi này được tạo ra để xâm nhập ngay cả những hệ thống an toàn nhất, thể hiện mối đe dọa liên tục đối với các tổ chức có tài sản tiền điện tử lớn.
Đọc thêm: Lazarus Group bị cáo buộc chuyển số tiền bị đánh cắp từ vụ hack DMM Bitcoin trị giá 308 triệu đô la
