Nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết, DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên. Vào ngày 19/10, tin tặc đã giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm Telegram, nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử. Sau khi lấy được lòng tin của nạn nhân, tin tặc gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh cấu trúc phí VIP của các sàn giao dịch tiền điện tử.
Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một backdoor được mã hóa XOR và một tệp thực thi Windows hợp pháp sau đó được sử dụng để tải tệp DLL. DLL này sẽ giải mã và tải backdoor, từ đó giúp tin tặc giành được quyền truy cập từ xa vào hệ thống nạn nhân.
Bảng tính Excel sau đó sẽ không được bảo vệ nếu tệp Excel thứ hai được lưu trữ trong Base64 đã được cài đặt và kích hoạt. Điều này giúp đánh lừa người dùng bật macro và không gây nghi ngờ. Một payload thứ hai cũng được DEV-0139 sử dụng trong chiến dịch này. Đó là gói MSI cho ứng dụng CryptoDashboardV2, cho thấy nhóm cũng đứng sau các cuộc tấn công khác sử dụng kỹ thuật tương tự để phát tán các payload tùy chỉnh.
Hãng Volexity cuối tuần trước cho rằng nhóm tin tặc Lazarus (Triều Tiên) có liên quan đến chiến dịch lần này. Theo Volexity, các tin tặc Triều Tiên đã sử dụng bảng tính độc hại để thả AppleJeus, mã độc từng được Lazarus sử dụng để đánh cắp tiền điện tử và các tài sản kỹ thuật số khác. Volexity cũng quan sát thấy Lazarus sử dụng bản sao trang web sàn giao dịch tiền điện tử tự động HaasOnline để phân phối phiên bản đã bị trojan hóa của ứng dụng BloxHolder. Phiên bản này có nhiệm vụ triển khai phần mềm độc hại AppleJeus đi kèm trong ứng dụng QTBitcoinTrader.
Microsoft cho biết hãng đã thông báo cho những khách hàng bị xâm phạm hoặc bị nhắm mục tiêu trong cuộc tấn công này, đồng thời chia sẻ thông tin cần thiết để bảo mật tài khoản.
Lazarus là một nhóm hacker Bắc Triều Tiên đã hoạt động hơn một thập kỷ, ít nhất là kể từ năm 2009. Nhóm này được biết đến với các cuộc tấn công vào các mục tiêu cao cấp trên toàn thế giới, bao gồm ngân hàng, tổ chức truyền thông và cơ quan chính phủ. Nhóm được cho là chịu trách nhiệm cho các cuộc tấn công mạng lớn, bao gồm vụ hack Sony Pictures năm 2014 và cuộc tấn công mã độc tống tiền WannaCry năm 2017.
Lê Yến
14:00 | 31/03/2023
13:00 | 02/12/2022
09:00 | 09/01/2023
13:00 | 24/08/2022
15:00 | 20/12/2023
10:00 | 24/04/2024
14:00 | 24/09/2021
14:00 | 22/06/2023
14:00 | 19/02/2024
14:00 | 24/08/2023
08:00 | 25/01/2024
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
