Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), cùng với Cục Điều tra Liên bang (FBI) và Bộ Tài chính, đã cảnh báo về một loạt các cuộc tấn công mạng đang diễn ra bởi Lazarus Group nhằm vào các công ty blockchain.
Gọi nhóm hoạt động TraderTraitorcác cuộc xâm nhập liên quan đến tác nhân đe dọa liên tục nâng cao (APT) do nhà nước Triều Tiên bảo trợ tấn công các thực thể hoạt động trong ngành Web3.0 ít nhất kể từ năm 2020.
Các tổ chức được nhắm mục tiêu bao gồm sàn giao dịch tiền điện tử, giao thức tài chính phi tập trung (DeFi), trò chơi điện tử tiền điện tử chơi để kiếm tiền, công ty kinh doanh tiền điện tử, quỹ đầu tư mạo hiểm đầu tư vào tiền điện tử và cá nhân sở hữu số lượng lớn tiền điện tử hoặc mã thông báo không thể thay thế có giá trị (NFT) .
Chuỗi tấn công bắt đầu với việc kẻ đe dọa tiếp cận nạn nhân thông qua các nền tảng giao tiếp khác nhau để thu hút họ tải xuống các ứng dụng tiền điện tử được vũ khí hóa cho Windows và macOS, sau đó tận dụng quyền truy cập để lan truyền phần mềm độc hại trên toàn mạng và tiến hành các hoạt động tiếp theo để đánh cắp khóa cá nhân và bắt đầu các giao dịch blockchain giả mạo.
“Các cuộc xâm nhập bắt đầu với một số lượng lớn các tin nhắn lừa đảo trực tuyến được gửi đến nhân viên của các công ty tiền điện tử”, lời khuyên viết. “Các tin nhắn thường bắt chước một nỗ lực tuyển dụng và cung cấp các công việc được trả lương cao để lôi kéo người nhận tải xuống các ứng dụng tiền điện tử có chứa phần mềm độc hại.”
Đây không phải là lần đầu tiên nhóm triển khai phần mềm độc hại tùy chỉnh để ăn cắp tiền điện tử. Các chiến dịch khác do Lazarus Group thực hiện bao gồm Chiến dịch AppleJeus, SnatchCrypto và gần đây hơn là sử dụng các ứng dụng ví DeFi bị trojanized để mở cửa hậu cho các máy Windows.
Mối đe dọa TraderTraitor bao gồm một số ứng dụng tiền điện tử giả mạo dựa trên các dự án mã nguồn mở và tự nhận là phần mềm giao dịch tiền điện tử hoặc dự đoán giá, chỉ để cung cấp trojan truy cập từ xa Manuscrypt, một phần mềm độc hại trước đây gắn liền với các chiến dịch tấn công của nhóm chống lại ngành công nghiệp trò chơi di động và tiền điện tử.
Dưới đây là danh sách các ứng dụng độc hại –
DAFOM (dafom[.]dev) TokenAIS (tokenais[.]com) CryptAIS (cryptais[.]com) AlticGO (alticgo[.]com) Esilet (esilet[.]com) và CreAI Deck (creaideck[.]com)
Tiết lộ được đưa ra chưa đầy một tuần sau khi Bộ Tài chính quy kết vụ trộm cắp tiền điện tử của Mạng Ronin của Axie Infinity cho Lazarus Group, xử phạt địa chỉ ví được sử dụng để nhận tiền bị đánh cắp.
Các cơ quan cho biết: “Các tổ chức mạng được nhà nước bảo trợ của Triều Tiên sử dụng đầy đủ các chiến thuật và kỹ thuật để khai thác các mạng máy tính được quan tâm, có được tài sản trí tuệ-tiền điện tử nhạy cảm và thu được tài sản tài chính”.
“Những tác nhân này có thể sẽ tiếp tục khai thác các lỗ hổng của các công ty công nghệ tiền điện tử, công ty trò chơi và sàn giao dịch để tạo và rửa tiền nhằm hỗ trợ chế độ bắc triều tiên.”
.
