Trong một tiết lộ đáng sợ, Elastic Security Labs, một công ty nghiên cứu an ninh mạng nổi tiếng, đã phát hiện ra một vụ xâm nhập mạng tinh vi được cho là do các tin tặc Triều Tiên có liên quan đến nhóm Lazarus khét tiếng dàn dựng. Hoạt động rất tiên tiến này, có tên mã REF7001, diễn ra một cách bất ngờ, liên quan đến một phần mềm độc hại macOS mới được xác định có tên Kandykorn. Điều làm nên sự khác biệt của cuộc xâm nhập này là trọng tâm cụ thể của nó đối với các kỹ sư blockchain tham gia vào lĩnh vực trao đổi tiền điện tử. Phương thức phân phối của phần mềm độc hại cũng như sự phức tạp của nó đã khiến cộng đồng an ninh mạng phải ngạc nhiên.
Điệu nhảy phức tạp của Kandykorn
Phần mềm độc hại Kandykorn được sử dụng trong hoạt động mạng này khác xa với mức bình thường. Nó bắt đầu giao tiếp với máy chủ ra lệnh và kiểm soát (C2) thông qua kết nối RC4 được mã hóa và tự hào có cơ chế bắt tay độc đáo. Tuy nhiên, tính năng nổi bật nhất của nó là sự kiên nhẫn – nó lặng lẽ chờ đợi hướng dẫn, cho phép tin tặc kiểm soát các hệ thống bị xâm nhập một cách kín đáo.
Elastic Security Labs đã cung cấp những hiểu biết sâu sắc có giá trị về các khả năng của Kandykorn, nêu bật khả năng thành thạo của Kandykorn trong việc thực hiện nhiều tác vụ, bao gồm tải lên và tải xuống tệp, thao tác quy trình và thực thi các lệnh hệ thống tùy ý. Hơn nữa, phần mềm độc hại này sử dụng một kỹ thuật được gọi là tải nhị phân phản chiếu, một phương pháp thực thi không dùng tệp thường được liên kết với Nhóm Lazarus khét tiếng.
Kết nối nhóm Lazarus
Bằng chứng mở rộng liên kết cuộc tấn công mạng này với Nhóm Lazarus, một tập thể hack được cho là có trụ sở tại Triều Tiên. Mối liên hệ giữa cuộc xâm nhập này và các hoạt động trước đây của Nhóm Lazarus rất đáng chú ý. Chúng bao gồm những điểm tương đồng trong kỹ thuật tấn công, cơ sở hạ tầng mạng dùng chung, việc sử dụng chứng chỉ cụ thể để ký phần mềm độc hại và các phương pháp tùy chỉnh được sử dụng để phát hiện hoạt động của Lazarus Group.
Mạng lưới kết nối còn tiến xa hơn, với các giao dịch trực tuyến tiết lộ mối quan hệ giữa các vi phạm bảo mật tại các nền tảng tiền điện tử nổi bật như Atomic Wallet, Alphapo, CoinsPaid, Stake.com và CoinEx. Bằng chứng này củng cố niềm tin vào sự tham gia của Tập đoàn Lazarus vào các hoạt động khai thác mạng này, làm dấy lên mối lo ngại về những nỗ lực liên tục của họ trong không gian tiền điện tử.
Sự cấp thiết của các biện pháp an ninh mạng mạnh mẽ
Những phát hiện của Elastic Security Labs đóng vai trò như một lời nhắc nhở rõ ràng về tầm quan trọng của việc triển khai các biện pháp an ninh mạng mạnh mẽ. Khi ngành công nghiệp tiền điện tử tiếp tục mở rộng và trở nên nổi bật, nó ngày càng trở thành mục tiêu hấp dẫn đối với tội phạm mạng. Việc bảo vệ chống lại các mối đe dọa tinh vi như Kandykorn và Tập đoàn Lazarus đòi hỏi một cách tiếp cận nhiều mặt, bao gồm giám sát mạng nghiêm ngặt, phát hiện xâm nhập và nâng cao nhận thức của nhân viên.
Trong thời đại mà vi phạm dữ liệu và tấn công mạng không phải là vấn đề “nếu” mà là “khi nào”, nhu cầu về các chiến lược an ninh mạng chủ động và toàn diện là điều tối quan trọng. Sự xâm nhập mới nhất của Tập đoàn Lazarus vào lĩnh vực tiền điện tử đóng vai trò như một lời cảnh tỉnh, thúc giục ngành này luôn cảnh giác và cam kết bảo vệ các tài sản và công nghệ kỹ thuật số làm nền tảng cho bối cảnh tài chính đang phát triển này.
