Tin tặc Triều Tiên triển khai công cụ dựa trên blockchain trong chiến dịch tấn công mạng toàn cầu mở rộng

Các tác nhân đe dọa liên quan đến Triều Tiên đang gia tăng hoạt động tấn công mạng bằng cách sử dụng các công cụ phần mềm độc hại phi tập trung và khó phát hiện, theo phát hiện mới từ Cisco Talos và Google Threat Intelligence Group.

Các chiến dịch này nhằm đánh cắp tiền điện tử, xâm nhập mạng lưới và tránh bị phát hiện thông qua các trò lừa đảo tuyển dụng việc làm tinh vi.

Các kỹ thuật phần mềm độc hại đang phát triển phản ánh khả năng mở rộng

Các nhà nghiên cứu của Cisco Talos đã xác định một chiến dịch đang diễn ra bởi nhóm Triều Tiên Famous Chollima. Nhóm này đã sử dụng hai loại phần mềm độc hại bổ sung, BeaverTail và OtterCookie. Các chương trình này, thường được sử dụng để đánh cắp thông tin đăng nhập và trích xuất dữ liệu, hiện đã phát triển để tích hợp các chức năng mới và hoạt động gần gũi hơn.

Trong một sự cố gần đây liên quan đến một tổ chức ở Sri Lanka, kẻ tấn công đã dụ dỗ một người tìm việc cài đặt mã độc được ngụy trang như một phần của đánh giá kỹ thuật. Mặc dù tổ chức này không phải là mục tiêu trực tiếp, các nhà phân tích của Cisco Talos cũng đã quan sát thấy một module ghi lại phím và chụp màn hình liên quan đến OtterCookie, điều này cho thấy rủi ro rộng hơn đối với các cá nhân liên quan đến các lời mời làm việc giả mạo. Module này bí mật ghi lại các phím bấm và chụp ảnh màn hình máy tính, tự động truyền chúng đến một máy chủ điều khiển từ xa.

Quan sát này nhấn mạnh sự phát triển liên tục của các nhóm đe dọa liên quan đến Triều Tiên và sự tập trung của họ vào các kỹ thuật kỹ thuật xã hội để xâm nhập các mục tiêu không ngờ tới.

Blockchain được sử dụng như một cơ sở hạ tầng chỉ huy

Nhóm Google Threat Intelligence Group (GTIG) đã xác định một hoạt động của một tác nhân liên quan đến Triều Tiên, UNC5342. Nhóm này đã sử dụng một phần mềm độc hại mới gọi là EtherHiding. Công cụ này ẩn các tải trọng JavaScript độc hại trên một blockchain công khai, biến nó thành một mạng lưới điều khiển và kiểm soát (C2) phi tập trung.

Bằng cách sử dụng blockchain, kẻ tấn công có thể thay đổi hành vi của phần mềm độc hại từ xa mà không cần các máy chủ truyền thống. Việc triệt phá của cơ quan thực thi pháp luật trở nên khó khăn hơn nhiều. Hơn nữa, GTIG báo cáo rằng UNC5342 đã áp dụng EtherHiding trong một chiến dịch kỹ thuật xã hội gọi là Contagious Interview, đã được xác định trước đó bởi Palo Alto Networks, cho thấy sự kiên trì của các tác nhân đe dọa liên quan đến Triều Tiên.

Nhắm vào người tìm việc để đánh cắp tiền điện tử và dữ liệu

Theo các nhà nghiên cứu của Google, các hoạt động tấn công mạng này thường bắt đầu với các bài đăng tuyển dụng giả mạo nhằm vào các chuyên gia trong ngành tiền điện tử và an ninh mạng. Nạn nhân được mời tham gia vào các đánh giá giả, trong đó họ được hướng dẫn tải xuống các tệp có chứa mã độc.

Quá trình lây nhiễm thường liên quan đến nhiều họ phần mềm độc hại, bao gồm JadeSnow, BeaverTail và InvisibleFerret. Cùng nhau, chúng cho phép kẻ tấn công truy cập hệ thống, đánh cắp thông tin đăng nhập và triển khai ransomware một cách hiệu quả. Mục tiêu cuối cùng có thể là gián điệp, trộm cắp tài chính hoặc xâm nhập mạng lưới lâu dài.

Cisco và Google đã công bố các chỉ số thỏa hiệp (IOCs) để giúp các tổ chức phát hiện và phản ứng với các mối đe dọa mạng liên quan đến Triều Tiên đang diễn ra. Các tài nguyên này cung cấp chi tiết kỹ thuật để xác định hoạt động độc hại và giảm thiểu các vi phạm tiềm năng. Các nhà nghiên cứu cảnh báo rằng sự tích hợp của blockchain và phần mềm độc hại mô-đun có khả năng tiếp tục làm phức tạp nỗ lực phòng thủ an ninh mạng toàn cầu.