-
09/04/2020
-
112
-
1.082 bài viết
Chiến dịch tấn công DeFi bằng bộ ba mã độc PondRAT, ThemeForestRAT và RemotePE
Nhóm tin tặc khét tiếng Lazarus Group, tiếp tục gây chú ý với một chiến dịch tấn công có mục tiêu trong lĩnh vực tài chính phi tập trung (DeFi). Nghiên cứu mới từ NCC Group’s Fox-IT cho thấy chiến dịch này không chỉ dừng lại ở thủ đoạn giả mạo nhân viên công ty trên Telegram, mà còn triển khai liên tiếp ba loại mã độc khác nhau nhằm xâm nhập, thu thập dữ liệu và duy trì kiểm soát lâu dài trong hệ thống nạn nhân.
Chiến dịch bắt đầu khi tin tặc đóng giả nhân viên của một công ty giao dịch, tiếp cận nạn nhân qua Telegram. Chúng còn dựng trang web giả mạo Calendly và Picktime để sắp xếp cuộc họp, khiến nạn nhân mất cảnh giác.
Dù chưa xác định chính xác cách giành quyền truy cập ban đầu, các nhà nghiên cứu nghi ngờ Lazarus đã tận dụng một lỗ hổng zero-day trong Chrome. Sau khi xâm nhập, tin tặc dùng PerfhLoader để cài mã độc PondRAT (một biến thể tối giản của POOLRAT) cùng với nhiều công cụ hỗ trợ như keylogger, trình đánh cắp cookie, Mimikatz và proxy ngầm.
Vụ việc được phát hiện trong một tổ chức DeFi năm 2024, nhưng có ý nghĩa cảnh báo rộng hơn cho toàn ngành tài chính số.
Chiến dịch bắt đầu khi tin tặc đóng giả nhân viên của một công ty giao dịch, tiếp cận nạn nhân qua Telegram. Chúng còn dựng trang web giả mạo Calendly và Picktime để sắp xếp cuộc họp, khiến nạn nhân mất cảnh giác.
Dù chưa xác định chính xác cách giành quyền truy cập ban đầu, các nhà nghiên cứu nghi ngờ Lazarus đã tận dụng một lỗ hổng zero-day trong Chrome. Sau khi xâm nhập, tin tặc dùng PerfhLoader để cài mã độc PondRAT (một biến thể tối giản của POOLRAT) cùng với nhiều công cụ hỗ trợ như keylogger, trình đánh cắp cookie, Mimikatz và proxy ngầm.
- PondRAT: mã độc đơn giản, nhiệm vụ chính là mở đường, đọc/ghi file, chạy lệnh cơ bản. Đây là công cụ xâm nhập ban đầu.
- ThemeForestRAT: linh hoạt hơn, có khả năng thực thi tới 20 lệnh khác nhau như duyệt thư mục, timestomp (giả mạo thời gian file), tải tệp, hoặc inject shellcode. RAT này được tải thẳng vào bộ nhớ, giúp ẩn mình và khó bị phát hiện. Nó có nhiều điểm tương đồng với công cụ mà Lazarus từng dùng trong vụ tấn công Sony Pictures năm 2014.
- RemotePE: loại RAT phức tạp và tinh vi hơn, được triển khai khi Lazarus muốn duy trì hiện diện lâu dài trong hệ thống có giá trị cao. Nó hỗ trợ kiểm soát sâu hơn, phù hợp cho giai đoạn khai thác sau.
Vụ việc được phát hiện trong một tổ chức DeFi năm 2024, nhưng có ý nghĩa cảnh báo rộng hơn cho toàn ngành tài chính số.
- Với doanh nghiệp: nguy cơ rò rỉ thông tin nhạy cảm, mất quyền kiểm soát hệ thống, dẫn đến thiệt hại tài chính và uy tín.
- Với người dùng cá nhân: nguy cơ bị đánh cắp tài khoản, dữ liệu ví điện tử, thông tin đăng nhập, cookie, thậm chí thiết bị có thể bị biến thành công cụ tấn công tiếp theo.
Đáng chú ý, chiến dịch này cho thấy Lazarus tiếp tục đầu tư mạnh vào RAT đa nền tảng, phối hợp nhiều công cụ để ẩn mình, phân tầng tấn công và duy trì bám trụ lâu dài.
- Doanh nghiệp cần tăng cường giám sát hoạt động mạng, đặc biệt với ứng dụng chat, email và công cụ đặt lịch trực tuyến
- Người dùng và tổ chức trong lĩnh vực DeFi phải đặc biệt cảnh giác với các file tải về từ link Telegram hoặc website giả mạo.
- Các hệ thống cần cập nhật trình duyệt, phần mềm bảo mật và phân tách quyền người dùng, để giảm thiểu thiệt hại khi bị xâm nhập.
Theo The Hacker News