Lazarus tăng cường hoạt động tấn công tiền ảo dưới tên AppleJeus, bắt đầu tấn công hệ điều hành MacOS

ictnews Nhóm tin tặc khét tiếng Lazarus sử dụng Telegram là một trong những vector tấn công mới, đã có những bước tấn công đầu tiên vào người dùng MacOS. Các nạn nhân tại Anh, Ba Lan, Nga và Trung Quốc, bao gồm một số tổ chức kết nối với các công ty kinh doanh tiền điện tử cũng đã bị ảnh hưởng.

Năm 2018, Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã công bố những phát hiện về AppleJeus – với hành vi đánh cắp tiền ảo được thực hiện bởi nhóm hacker khét tiếng Lazarus. Giờ đây, những phát hiện mới còn cho thấy hoạt động này đang tiếp tục với động thái cẩn trọng hơn từ nhóm tin tặc, cùng các chiến thuật và quy trình tinh vi, cũng như sử dụng Telegram là một trong những vector tấn công mới. Các nạn nhân tại Anh, Ba Lan, Nga và Trung Quốc, bao gồm một số tổ chức kết nối với các công ty kinh doanh tiền điện tử cũng đã bị ảnh hưởng.

Ảnh minh hoạ: Kaspersky.

Kaspersky cho biết Lazarus là một trong những nhóm hacker APT hoạt động tích cực nhất, đã thực hiện rất nhiều cuộc tấn công nhắm vào những tổ chức liên quan đến tiền điện tử. 

Trong thời gian đầu hoạt động vào năm 2018, AppleJeus đã tự tạo một công ty tiền điện tử giả mạo để cung cấp ứng dụng đang bị chúng thao túng và lợi dụng lòng tin của nạn nhân để thực hiện tấn công. Hoạt động này được đánh dấu bằng động thái Lazarus xây dựng phần mềm độc hại tấn công macOS đầu tiên của mình. 

Ứng dụng được người dùng tải xuống từ các trang web của bên thứ ba và mã độc bị phát tán bằng cách ngụy trang dưới dạng bản cập nhật ứng dụng thông thường. Mã độc cho phép tin tặc giành quyền kiểm soát hoàn toàn thiết bị của người dùng và từ đó đánh cắp tiền ảo.

Các nhà nghiên cứu của Kaspersky đã xác định những thay đổi chiến thuật quan trọng của nhóm tấn công. Vector tấn công năm 2019 về cơ bản khá giống với năm 2018, nhưng được cải tiến hơn. Lần này, Lazarus đã tạo ra các trang web tiền ảo giả, nơi chứa liên kết đến các kênh Telegram giả mạo của tổ chức và phát tán mã độc thông qua trình nhắn tin.

 

Giống như hoạt động ban đầu của AppleJeus, quá trình tấn công gồm hai giai đoạn. Trước tiên, khi người dùng tải xuống một ứng dụng, trình tải xuống được liên kết sẽ lấy mã độc từ một máy chủ từ xa, cho phép tin tặc kiểm soát hoàn toàn thiết bị bị nhiễm mã độc bằng một backdoor vĩnh viễn. Tuy nhiên, lần này mã độc được phát tán một cách cẩn trọng để tránh bị phát hiện bởi những giải pháp bảo mật dựa trên hành vi. 

Đối với những tấn công vào mục tiêu chạy hệ điều hành macOS, một cơ chế xác thực đã được thêm vào trình tải xuống macOS và bộ khung phát triển đã được thay đổi. Ngoài ra, một kỹ thuật lây nhiễm không chứa tệp cũng được áp dụng. 

Khi nhắm mục tiêu đến người dùng Windows, tin tặc sẽ tránh sử dụng mã độc Fallchill (được sử dụng trong hoạt động của AppleJeus thời gian đầu) và tạo ra một mã độc chỉ chạy trên những hệ thống cụ thể sau khi kiểm tra chúng theo những tiêu chí nhất định. Những thay đổi này cho thấy tin tặc đã cẩn trọng hơn khi tiến hành tấn công bằng cách sử dụng nhiều phương pháp mới để tránh bị phát hiện.

Lazarus cũng có những thay đổi đáng kể cũng như tạo ra nhiều phiên bản khác nhau cho mã độc tấn công macOS. Không giống như cuộc tấn công trước đó, khi Lazarus sử dụng mã nguồn mở QtBitcoinTrader để xây dựng trình cài đặt macOS thủ công, thì đối với AppleJeus Sequel, tin tặc bắt đầu sử dụng mã tự chế để xây dựng trình cài đặt độc hại. Những thay đổi này cho thấy tác nhân đe dọa sẽ tiếp tục cải tiến phần mềm độc hại tấn công macOS và phát hiện gần đây nhất của chúng tôi cũng cho thấy những thay đổi này.

Ông Seongsu Park, Nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Giai đoạn tiếp theo trong hoạt động của AppleJeus minh chứng rằng mặc cho dấu hiệu chững lại của thị trường tiền điện tử gần đây, Lazarus vẫn tiếp tục đầu tư vào những cuộc tấn công liên quan đến tiền ảo, khiến chúng trở nên ngày càng tinh vi. Những thay đổi và động thái đa dạng hóa mã độc của chúng cho thấy những cuộc tấn công tiền ảo có thể sẽ tăng về số lượng và trở thành mối đe dọa nghiêm trọng trong thời gian tới.” 

Nhóm Lazarus, được biết đến với các hoạt động tấn công tinh vi và có liên kết với Triều Tiên, được ghi nhận không chỉ tiến hành các cuộc tấn công gián điệp và tấn công mạng mà còn thực hiện nhiều cuộc tấn công có động cơ tài chính. Một số nhà nghiên cứu, trong đó có chuyên gia từ Kaspersky, đã từng có báo cáo về hoạt động của nhóm này nhắm mục tiêu vào các ngân hàng và doanh nghiệp tài chính lớn khác.

 
List comment
 
Đánh thức sức mạnh nội lực có đưa Việt Nam trở thành con rồng châu Á?
icon

Tốc độ phát triển của nền kinh tế và tổ chức, doanh nghiệp nói riêng phụ thuộc vào tốc độ nhận thức về tầm quan trọng trong việc chuyển đổi số của bộ phận lãnh đạo. Ngay bây giờ, họ cần thức tỉnh và bước ra khỏi vùng an toàn.

 
Chủ tịch VINASA được bầu giữ chức Chủ tịch Ủy ban Thành phố thông minh ASOCIO
icon

Ủy ban Thành phố thông minh trực thuộc Tổ chức Công nghiệp điện toán châu Á – châu Đại Dương (ASOCIO) vừa được thành lập. Ông Trương Gia Bình, Chủ tịch VINASA, Phó Chủ tịch ASOCIO đã được bầu giữ chức Chủ tịch đầu tiên của Ủy ban này.

 
Tìm lời giải về nguồn thu cho báo chí Việt Nam
icon

Nhiều cơ quan báo chí đã sụt giảm doanh thu đến 50%, thậm chí 60-70% do tác động của dịch Covid-19. Do vậy, nhiều mô hình kinh doanh đang được cân nhắc nhằm tìm ra lời giải cho báo chí Việt Nam.

 
Apple sẽ khó duy trì được tỷ lệ chia sẻ doanh thu 30%
icon

Theo Andreas Lober, chuyên gia trong lĩnh vực bản quyền, việc Apple tạm thoát án phạt 15 tỷ USD của Ủy ban châu Âu không đồng nghĩa với việc sẽ thoát khỏi ‘vòng kim cô’ của Ủy ban chuyên về chống độc quyền và cạnh tranh không lành mạnh này.

 
Bộ TT&TT giục các sở xây dựng Kiến trúc ICT phát triển đô thị thông minh
icon

Theo Cục Tin học hóa, Bộ TT&TT, việc xây dựng Kiến trúc ICT phát triển đô thị thông minh (ĐTTM) rất quan trọng, giúp địa phương xác định tầm nhìn và kế hoạch tổng thể, lâu dài, đồng thời đảm bảo tính đồng bộ, bền vững trong phát triển ĐTTM.

 
 
TP.HCM: Địa phương đầu tiên công bố chương trình chuyển đổi số
icon

Bí thư Thành ủy TP.HCM Nguyễn Thiện Nhân khẳng định chương trình chuyển đổi số tại TP.HCM hướng tới mục tiêu gia tăng năng suất lao động, giảm chi phí, phục vụ người dân và doanh nghiệp tốt hơn.

TP.HCM tăng khả năng cung cấp dịch vụ công trực tuyến với nền tảng LGSP
icon

Nền tảng kết nối, chia sẻ dữ liệu thành phố HCM LGSP mới được công bố giúp cho TP.HCM tăng khả năng cung cấp dịch vụ công trực tuyến (DVCTT) mức độ cao cho người dân, doanh nghiệp.

Văn hoá doanh nghiệp: Năng lực cạnh tranh độc quyền của mỗi doanh nghiệp trong thời đại 4.0
icon

Cơn bão của Chuyển đổi số và cuộc cách mạng Công nghiệp 4.0 đang “nổi lên” trên toàn cầu. Thị trường ngày càng trở nên biến động hơn bao giờ hết trước những biến cố bất ngờ như dịch COVID-19. 

Gần 1.000 nhân viên LinkedIn bị sa thải vì Covid-19
icon

LinkedIn, mạng xã hội tuyển dụng của Microsoft vừa thông báo cắt giảm 960 vị trí, tương đương 6% nhân sự toàn cầu do ảnh hưởng của dịch Covid-19.  

Thêm một trang web phim 'lậu' lớn ở Việt Nam bị ngừng hoạt động
icon

Bằng các biện pháp kĩ thuật từ phía nhà mạng viễn thông, các trang web xem phim 'lậu' đang dần biến mất khỏi lãnh thổ Việt Nam.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123