DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc Triều Tiên đánh cắp hàng triệu đô la từ các công ty FinTech trên toàn thế giới
Nhóm tin tặc BlueNoroff được cho là có liên kết với nhóm Lazarus, gần đây đã thực hiện một loạt các cuộc tấn công mạng nhắm mục tiêu vào các công ty liên quan đến tiền điện tử vừa và nhỏ trên toàn thế giới. Hoạt động này được cho là do chính phủ Triều Tiên "hậu thuẫn".
Công ty an ninh mạng Kaspersky của Nga, đã theo dõi chiến dịch "SnatchCrypto" bắt đầu từ năm 2017, thêm vào đó các cuộc tấn công nhắm vào các công ty khởi nghiệp trong lĩnh vực FinTech ở Trung Quốc, Hồng Kông, Ấn Độ, Ba Lan, Nga, Singapore, Slovenia, Cộng hòa Séc, UAE, Mỹ, Ukraine và Việt Nam.
Các nhà nghiên cứu cho biết: “Tin tặc đã lạm dụng lòng tin của các nhân viên làm việc tại các công ty mục tiêu một cách tinh vi bằng cách gửi một backdoor Windows đầy đủ tính năng với các chức năng giám sát, được ngụy trang dưới dạng hợp đồng hoặc một tệp tài liệu có nội dung đề nghị hợp tác. Với mục đích đánh cắp tiền điện tử, sau khi xâm nhập vào hệ thống, hacker thực hiện mở rộng phạm vi khai thác và lây nhiễm phần mềm độc hại."
Nhóm BlueNoroff và Lazarus dùng nhiều thủ đoạn trong các cuộc tấn công đa hướng nhắm vào các doanh nghiệp để đánh cắp tiền, bao gồm thực hiện các chiến thuật lừa đảo và phần mềm độc hại tinh vi. Mục đích để mang tiền về cho nhà nước Triều Tiên thực hiện các chương trình vũ khí hạt nhân và tên lửa đạn đạo.
Theo một báo cáo mới được công bố bởi công ty phân tích blockchain Chainalysis, nhóm tin tặc Lazarus có liên quan đến 7 cuộc tấn công vào các nền tảng tiền điện tử nhằm khai thác tài sản kỹ thuật số trị giá gần 400 triệu đô la trong năm 2021, trong khi con số chỉ là 300 triệu đô la trong năm 2020.
Các nhà nghiên cứu cho biết: “Những cuộc tấn công này chủ yếu nhắm vào các công ty đầu tư và sàn giao dịch tập trung để rút tiền từ các ví 'nóng' được kết nối internet của các tổ chức mục tiêu vào các địa chỉ do CHDCND Triều Tiên kiểm soát. Khi Triều Tiên giành được quyền quản lý các quỹ, họ bắt đầu quá trình rửa tiền cẩn thận để che giấu và rút tiền" thông qua các máy trộn tiền mã hóa nhằm che giấu nguồn gốc của tiền mã hóa.
Một trong những vụ việc đáng chú ý liên quan đến hoạt động của tin tặc do nhà nước Triều Tiên bảo trợ đó là vụ tấn công mạng ngân hàng SWIFT vào năm 2015-2016, với các chiến dịch nhằm triển khai backdoor AppleJeus để giả mạo sàn giao dịch tiền điện tử.
Một chiến dịch khác có tên SnatchCrypto, tin tặc sử dụng kỹ thuật tấn công phi kỹ thuật (social engineering) tinh vi giả mạo là các công ty đầu tư mạo hiểm hợp pháp nhằm tạo lòng tin với các mục tiêu. Mục đích cuối cùng là lừa đảo nạn nhân mở các tài liệu có chứa phần mềm độc hại để xâm nhập vào hệ thống và nhận lệnh từ máy chủ điều khiển.
Ngoài ra, tin tặc còn sử dụng các tệp lối tắt Windows (".LNK") để tìm nạp phần mềm độc hại khác sau khi xâm nhập hệ thống. Sau đó tệp Visual Basic Script được chạy để thực thi một loạt các mã độc, trước khi cài đặt một backdoor đa chức năng để chụp ảnh màn hình, ghi lại các lần gõ phím, lấy cắp dữ liệu từ trình duyệt Chrome và thực hiện các lệnh tùy ý.
Mục tiêu cuối cùng của các cuộc tấn công là theo dõi các giao dịch tài chính và đánh cắp tiền điện tử. Nếu nạn nhân sử dụng tiện ích mở rộng của Chrome như Metamask để quản lý ví tiền điện tử, tin tặc lén lút thay thế cục bộ thành phần chính của tiện ích mở rộng bằng một phiên bản giả mạo để thông báo cho hacker mỗi khi có một giao dịch xảy ra.
Để rút tiền, mã độc có nhiệm vụ nắm bắt và sửa đổi các chi tiết giao dịch theo yêu cầu. Các nhà nghiên cứu giải thích: “Tin tặc không chỉ sửa đổi địa chỉ ví của người nhận mà còn đẩy giới hạn mức tiền được chuyển lên tối đa, để nhanh chóng rút sạch tiền trong tài khoản."
Nhà nghiên cứu Erich Kron cho biết: "Tiền điện tử là một lĩnh vực ưa thích của tội phạm mạng do tính chất phi tập trung của tiền tệ và thực tế là, không giống như thẻ tín dụng hoặc chuyển khoản ngân hàng, giao dịch diễn ra nhanh chóng và khó bị truy xuất nguồn gốc giao dịch."
Tại các quốc gia đánh thuế nghiêm ngặt hoặc hạn chế tài chính, tin tặc có thể được hưởng lợi rất nhiều bằng cách đánh cắp và thao túng tiền điện tử. Một ví tiền điện tử có thể chứa nhiều loại khác nhau, khiến chúng trở thành "miếng mồi ngon" bị tấn công hiện nay.
Công ty an ninh mạng Kaspersky của Nga, đã theo dõi chiến dịch "SnatchCrypto" bắt đầu từ năm 2017, thêm vào đó các cuộc tấn công nhắm vào các công ty khởi nghiệp trong lĩnh vực FinTech ở Trung Quốc, Hồng Kông, Ấn Độ, Ba Lan, Nga, Singapore, Slovenia, Cộng hòa Séc, UAE, Mỹ, Ukraine và Việt Nam.
Các nhà nghiên cứu cho biết: “Tin tặc đã lạm dụng lòng tin của các nhân viên làm việc tại các công ty mục tiêu một cách tinh vi bằng cách gửi một backdoor Windows đầy đủ tính năng với các chức năng giám sát, được ngụy trang dưới dạng hợp đồng hoặc một tệp tài liệu có nội dung đề nghị hợp tác. Với mục đích đánh cắp tiền điện tử, sau khi xâm nhập vào hệ thống, hacker thực hiện mở rộng phạm vi khai thác và lây nhiễm phần mềm độc hại."
Nhóm BlueNoroff và Lazarus dùng nhiều thủ đoạn trong các cuộc tấn công đa hướng nhắm vào các doanh nghiệp để đánh cắp tiền, bao gồm thực hiện các chiến thuật lừa đảo và phần mềm độc hại tinh vi. Mục đích để mang tiền về cho nhà nước Triều Tiên thực hiện các chương trình vũ khí hạt nhân và tên lửa đạn đạo.
Theo một báo cáo mới được công bố bởi công ty phân tích blockchain Chainalysis, nhóm tin tặc Lazarus có liên quan đến 7 cuộc tấn công vào các nền tảng tiền điện tử nhằm khai thác tài sản kỹ thuật số trị giá gần 400 triệu đô la trong năm 2021, trong khi con số chỉ là 300 triệu đô la trong năm 2020.
Các nhà nghiên cứu cho biết: “Những cuộc tấn công này chủ yếu nhắm vào các công ty đầu tư và sàn giao dịch tập trung để rút tiền từ các ví 'nóng' được kết nối internet của các tổ chức mục tiêu vào các địa chỉ do CHDCND Triều Tiên kiểm soát. Khi Triều Tiên giành được quyền quản lý các quỹ, họ bắt đầu quá trình rửa tiền cẩn thận để che giấu và rút tiền" thông qua các máy trộn tiền mã hóa nhằm che giấu nguồn gốc của tiền mã hóa.
Một trong những vụ việc đáng chú ý liên quan đến hoạt động của tin tặc do nhà nước Triều Tiên bảo trợ đó là vụ tấn công mạng ngân hàng SWIFT vào năm 2015-2016, với các chiến dịch nhằm triển khai backdoor AppleJeus để giả mạo sàn giao dịch tiền điện tử.
Một chiến dịch khác có tên SnatchCrypto, tin tặc sử dụng kỹ thuật tấn công phi kỹ thuật (social engineering) tinh vi giả mạo là các công ty đầu tư mạo hiểm hợp pháp nhằm tạo lòng tin với các mục tiêu. Mục đích cuối cùng là lừa đảo nạn nhân mở các tài liệu có chứa phần mềm độc hại để xâm nhập vào hệ thống và nhận lệnh từ máy chủ điều khiển.
Ngoài ra, tin tặc còn sử dụng các tệp lối tắt Windows (".LNK") để tìm nạp phần mềm độc hại khác sau khi xâm nhập hệ thống. Sau đó tệp Visual Basic Script được chạy để thực thi một loạt các mã độc, trước khi cài đặt một backdoor đa chức năng để chụp ảnh màn hình, ghi lại các lần gõ phím, lấy cắp dữ liệu từ trình duyệt Chrome và thực hiện các lệnh tùy ý.
Mục tiêu cuối cùng của các cuộc tấn công là theo dõi các giao dịch tài chính và đánh cắp tiền điện tử. Nếu nạn nhân sử dụng tiện ích mở rộng của Chrome như Metamask để quản lý ví tiền điện tử, tin tặc lén lút thay thế cục bộ thành phần chính của tiện ích mở rộng bằng một phiên bản giả mạo để thông báo cho hacker mỗi khi có một giao dịch xảy ra.
Để rút tiền, mã độc có nhiệm vụ nắm bắt và sửa đổi các chi tiết giao dịch theo yêu cầu. Các nhà nghiên cứu giải thích: “Tin tặc không chỉ sửa đổi địa chỉ ví của người nhận mà còn đẩy giới hạn mức tiền được chuyển lên tối đa, để nhanh chóng rút sạch tiền trong tài khoản."
Nhà nghiên cứu Erich Kron cho biết: "Tiền điện tử là một lĩnh vực ưa thích của tội phạm mạng do tính chất phi tập trung của tiền tệ và thực tế là, không giống như thẻ tín dụng hoặc chuyển khoản ngân hàng, giao dịch diễn ra nhanh chóng và khó bị truy xuất nguồn gốc giao dịch."
Tại các quốc gia đánh thuế nghiêm ngặt hoặc hạn chế tài chính, tin tặc có thể được hưởng lợi rất nhiều bằng cách đánh cắp và thao túng tiền điện tử. Một ví tiền điện tử có thể chứa nhiều loại khác nhau, khiến chúng trở thành "miếng mồi ngon" bị tấn công hiện nay.
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: