Nhóm hack do nhà nước Triều Tiên hậu thuẫn, còn được gọi là Lazarus Group, được cho là do một chiến dịch khác có động cơ tài chính thúc đẩy ứng dụng ví tài chính phi tập trung (DeFi) bị trojanized (DeFi) để phân phối một cửa hậu đầy đủ tính năng lên các hệ thống Windows bị xâm nhập.
Ứng dụng được trang bị các chức năng để lưu và quản lý ví tiền điện tử, cũng được thiết kế để kích hoạt việc khởi chạy bộ cấy có thể kiểm soát máy chủ bị nhiễm. Công ty an ninh mạng Kaspersky của Nga cho biết lần đầu tiên họ gặp phải ứng dụng giả mạo vào giữa tháng 12 năm 2021.
Kế hoạch lây nhiễm do ứng dụng khởi xướng cũng dẫn đến việc triển khai trình cài đặt cho một ứng dụng hợp pháp, trình cài đặt này sẽ bị ghi đè bằng một phiên bản trojanized nhằm cố gắng che dấu vết của nó. Điều đó nói rằng, con đường tiếp cận ban đầu không rõ ràng, mặc dù nó bị nghi ngờ là một trường hợp kỹ thuật xã hội.
Phần mềm độc hại sinh ra, giả dạng trình duyệt web Chrome của Google, sau đó khởi chạy ứng dụng ví được xây dựng cho DeFiChain, đồng thời thiết lập kết nối với miền do kẻ tấn công kiểm soát từ xa và đang chờ hướng dẫn thêm từ máy chủ.
Dựa trên phản hồi nhận được từ máy chủ lệnh và kiểm soát (C2), trojan tiến hành thực hiện một loạt các lệnh, cấp cho nó khả năng thu thập thông tin hệ thống, liệt kê và kết thúc các quy trình, xóa tệp, khởi chạy các quy trình mới và lưu các tập tin tùy ý trên máy.
Cơ sở hạ tầng C2 được sử dụng trong chiến dịch này chỉ bao gồm các máy chủ web đã bị xâm nhập trước đó đặt tại Hàn Quốc, khiến công ty an ninh mạng phối hợp với nhóm ứng phó khẩn cấp máy tính của nước này (KrCERT) để tháo dỡ các máy chủ.
Các phát hiện được đưa ra hơn hai tháng sau khi Kaspersky tiết lộ chi tiết về một chiến dịch “SnatchCrypto” tương tự được tổ chức bởi nhóm con Lazarus được theo dõi là BlueNoroff để rút tiền kỹ thuật số từ ví MetaMask của nạn nhân.
“Đối với tác nhân đe dọa Lazarus, lợi nhuận tài chính là một trong những động lực chính, đặc biệt chú trọng vào hoạt động kinh doanh tiền điện tử. Khi giá tiền điện tử tăng và sự phổ biến của các doanh nghiệp tài chính phi tập trung (NFT) và tài chính phi tập trung (DeFi) Các nhà nghiên cứu của Kaspersky GReAT chỉ ra rằng mục tiêu của nhóm Lazarus đối với ngành tài chính tiếp tục tăng lên.
.
