Nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết, DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên. Vào ngày 19/10, tin tặc đã giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm , nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử. Sau khi lấy được lòng tin của nạn nhân, tin tặc gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh cấu trúc phí VIP của các sàn giao dịch tiền điện tử.
Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một được mã hóa XOR và một tệp thực thi Windows hợp pháp sau đó được sử dụng để tải tệp DLL. DLL này sẽ giải mã và tải backdoor, từ đó giúp tin tặc giành được quyền truy cập từ xa vào hệ thống nạn nhân.
Bảng tính Excel sau đó sẽ không được bảo vệ nếu tệp Excel thứ hai được lưu trữ trong Base64 đã được cài đặt và kích hoạt. Điều này giúp đánh lừa người dùng bật macro và không gây nghi ngờ. Một payload thứ hai cũng được DEV-0139 sử dụng trong chiến dịch này. Đó là gói MSI cho ứng dụng CryptoDashboardV2, cho thấy nhóm cũng đứng sau các cuộc tấn công khác sử dụng kỹ thuật tương tự để phát tán các payload tùy chỉnh.
Hãng Volexity cuối tuần trước cho rằng nhóm tin tặc Lazarus (Triều Tiên) có liên quan đến chiến dịch lần này. Theo Volexity, các tin tặc Triều Tiên đã sử dụng bảng tính độc hại để thả AppleJeus, mã độc từng được sử dụng để đánh cắp tiền điện tử và các tài sản kỹ thuật số khác. Volexity cũng quan sát thấy Lazarus sử dụng bản sao trang web sàn giao dịch tiền điện tử tự động HaasOnline để phân phối phiên bản đã bị trojan hóa của ứng dụng BloxHolder. Phiên bản này có nhiệm vụ triển khai phần mềm độc hại AppleJeus đi kèm trong ứng dụng QTBitcoinTrader.
Microsoft cho biết hãng đã thông báo cho những khách hàng bị xâm phạm hoặc bị nhắm mục tiêu trong cuộc tấn công này, đồng thời chia sẻ thông tin cần thiết để bảo mật tài khoản.
Lazarus là một nhóm hacker Bắc Triều Tiên đã hoạt động hơn một thập kỷ, ít nhất là kể từ năm 2009. Nhóm này được biết đến với các cuộc tấn công vào các mục tiêu cao cấp trên toàn thế giới, bao gồm ngân hàng, tổ chức truyền thông và cơ quan chính phủ. Nhóm được cho là chịu trách nhiệm cho các cuộc tấn công mạng lớn, bao gồm vụ hack Sony Pictures năm 2014 và cuộc tấn công mã độc tống tiền WannaCry năm 2017.
Lê Yến
13:00 | 02/12/2022
14:00 | 31/03/2023
09:00 | 09/01/2023
15:00 | 20/12/2023
13:00 | 24/08/2022
10:00 | 24/04/2024
14:00 | 22/06/2023
07:00 | 16/09/2024
14:00 | 24/09/2021
14:00 | 19/02/2024
08:00 | 25/01/2024
14:00 | 24/08/2023
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
