Nhóm hack Lazarus của Triều Tiên phát tán phần mềm độc hại nâng cao trong các vụ lừa đảo việc làm mới

Tập đoàn Lazarus, một tập đoàn hack của Triều Tiên, đã sử dụng một biến thể phần mềm độc hại mới và rất phức tạp có tên LightlessCan trong các kế hoạch lừa đảo tuyển dụng, đặt ra thách thức đáng kể trong việc phát hiện so với phiên bản tiền nhiệm.
Nhà nghiên cứu phần mềm độc hại cấp cao của ESET, Peter Kálnai, đã tiết lộ những phát hiện này trong một bài đăng vào ngày 29 tháng 9, sau khi phân tích một cuộc tấn công việc làm giả mạo nhắm vào một công ty hàng không vũ trụ Tây Ban Nha.
Phương thức hoạt động điển hình của Lazarus Group liên quan đến việc dụ dỗ nạn nhân bằng những lời mời làm việc hấp dẫn tại các công ty có uy tín và lừa họ tải xuống các tải trọng độc hại được ngụy trang dưới dạng tài liệu.
Tuy nhiên, LightlessCan thể hiện một bước tiến đáng chú ý so với người tiền nhiệm của nó, BlindingCan. Kálnai giải thích rằng LightlessCan có thể bắt chước nhiều lệnh gốc khác nhau của Windows, cho phép thực thi kín đáo bên trong chính Trojan truy cập từ xa (RAT), giảm thiểu tiếng ồn khi thực thi bảng điều khiển.
Khả năng tàng hình nâng cao này khiến các giải pháp giám sát thời gian thực như EDR và ​​​​các công cụ pháp y kỹ thuật số sau khám nghiệm tử thi gặp khó khăn trong việc phát hiện.
ĐỌC THÊM:Mô hình công ty đầu tư mạo hiểm chỉ trích cách tiếp cận độc đáo của SEC trong trường hợp Binance
Hơn nữa, phần mềm độc hại mới kết hợp “các rào chắn thực thi” để đảm bảo rằng chỉ máy của nạn nhân mới có thể giải mã được trọng tải, ngăn chặn việc giải mã ngoài ý muốn của các nhà nghiên cứu bảo mật.
Một trường hợp đã biết liên quan đến phần mềm độc hại mới này nhắm vào một công ty hàng không vũ trụ Tây Ban Nha khi một nhân viên nhận được tin nhắn từ một nhà tuyển dụng Meta giả mạo tên là Steve Dawson vào năm 2022. Sau đó, tin tặc đã gửi hai thử thách mã hóa được nhúng cùng với phần mềm độc hại.
Động cơ chính của Tập đoàn Lazarus trong cuộc tấn công vào công ty hàng không vũ trụ Tây Ban Nha là do thám mạng.
Đáng chú ý, tin tặc Triều Tiên đã đánh cắp khoảng 3,5 tỷ USD từ các dự án tiền điện tử kể từ năm 2016, theo báo cáo của công ty pháp y blockchain Chainalysis vào ngày 14 tháng 9.
Vào tháng 9 năm 2022, công ty an ninh mạng SentinelOne đã đưa ra cảnh báo về một vụ lừa đảo việc làm giả mạo trên LinkedIn, một phần của chiến dịch được gọi là “Chiến dịch công việc trong mơ”, cung cấp các vị trí nạn nhân tiềm năng tại Crypto.com.
Đồng thời, Liên Hợp Quốc đang tích cực làm việc để hạn chế các chiến thuật tội phạm mạng của Triều Tiên trên quy mô quốc tế, vì người ta tin rằng số tiền bị đánh cắp đang được sử dụng để hỗ trợ chương trình tên lửa hạt nhân của Triều Tiên.
Nỗ lực không ngừng này nhấn mạnh tác động toàn cầu và hậu quả của các cuộc tấn công mạng do các nhóm như Lazarus dàn dựng.
Những câu chuyện khác:
SEC trì hoãn quyết định về các đề xuất ETF Bitcoin giao ngay trong bối cảnh chính phủ sắp đóng cửa
Mô hình của công ty đầu tư mạo hiểm chỉ trích cách tiếp cận độc đáo của SEC trong trường hợp Binance
Không gian và thời gian tích hợp bằng chứng xác minh SQL của nó vào các nút liên kết chuỗi