Nhóm hacker Lazarus của Triều Tiên đang phát tán một loại phần mềm độc hại mới “tinh vi” như một phần của các chiêu lừa đảo tuyển dụng – mà các nhà nghiên cứu cảnh báo rằng nó khó phát hiện hơn rất nhiều so với phiên bản trước đó.
Theo bài viết ngày 29 tháng 9 từ Peter Kálnai, nhà nghiên cứu phần mềm độc hại hàng đầu của ESET, trong quá trình phân tích một cuộc tấn lừa đảo tuyển dụng gần đây đối với một công ty hàng không vũ trụ đặt tại Tây Ban Nha, các nhà nghiên cứu của ESET đã phát hiện một cửa sau (backdoor) không được công khai có tên LightlessCan.
Chiêu lừa việc làm giả của nhóm Lazarus thường liên quan đến việc lừa đảo nạn nhân bằng cách đưa ra một đề nghị việc làm tiềm năng tại một công ty nổi tiếng. Các kẻ tấn công sẽ dụ nạn nhân tải xuống một tải một tệp độc hại giả mạo dưới dạng tài liệu để tấn công.
Tuy nhiên, Kálnai cho biết LightlessCan là một “tiến bộ đáng kể” so với phiên bản trước đó là BlindingCan.
“LightlessCan mô phỏng các chức năng của một loạt các lệnh Windows cơ bản, cho phép thực thi kín đáo trong chính RAT thay vì thực thi nhiều lệnh trên giao diện dòng lệnh ồn ào”, ông nói.
“Phương pháp này mang lại lợi thế đáng kể về tính bí mật, cả trong việc tránh các giải pháp giám sát thời gian thực như EDR và các công cụ boả mật số học sau khi sự cố xảy ra”, ông nói.
LightlessCan cũng sử dụng những gì nhà nghiên cứu gọi là “rào cản thực thi” – đảm bảo rằng lỗ hổng chỉ có thể được giải mã trên máy của nạn nhân dự định, do đó tránh việc giải mã không cố ý bởi các nhà nghiên cứu bảo mật.
Kálnai cho biết một trường hợp liên quan đến phần mềm độc hại mới đã được ghi nhận trong một cuộc tấn công vào một công ty hàng không vũ trụ tại Tây Ban Nha khi một nhân viên nhận được tin nhắn từ một nhà tuyển dụng giả có tên Steve Dawson vào năm 2022.
Lúc đấy, các hacker đã gửi hai câu đố mã hóa đơn giản nhưng có kèm theo phần mềm độc hại. Nạn nhân khi tương tác với phần mềm sẽ bị tấn công.
Kálnai thêm rằng việc gián điệp mạng là động cơ chính đằng sau cuộc tấn công của nhóm Lazarus vào công ty hàng không vũ trụ đặt tại Tây Ban Nha.
Kể từ năm 2016, các hacker Bắc Triều Tiên đã đánh cắp khoảng 3.5 tỷ USD từ các dự án tiền điện tử, theo một báo cáo ngày 14 tháng 9 của Chainalysis.
Vào tháng 9 năm 2022, công ty an ninh mạng SentinelOne cảnh báo về một chiêu lừa đảo tuyển dụng trên LinkedIn, đề nghị cho các nạn nhân một công việc tại Crypto.com như một phần của chiến dịch mang tên “Operation Dream Job”.
Trong khi đó, Liên Hợp Quốc đã cố gắng kiềm chế các chiến thuật tội phạm mạng của Triều Tiên ở mức quốc tế, vì họ biết rằng Triều Tiên đang sử dụng các quỹ bị đánh cắp để hỗ trợ chương trình tên lửa hạt nhân của mình.
Anh em tham gia các kênh thông tin của chúng mình để thảo luận về câu hỏi và bắt kịp những diễn biến mới nhất của thị trường nhé!
HC Capital Channel | HC Capital Group Chat
Allinstation Channel | Allinstation Chat
Margin HC Channel | Margin HC Group Chat
HC Gem Alerts | HC Gem Alerts Chat