Tin tặc Triều Tiên đã triển khai một biến thể phần mềm độc hại mới có tên “Durian” để tấn công các công ty tiền điện tử của Hàn Quốc.
Theo báo cáo về mối đe dọa ngày 9 tháng 5 từ công ty an ninh mạng Kaspersky, nhóm hack Kimsuky của Triều Tiên đã sử dụng phần mềm độc hại này trong các cuộc tấn công có chủ đích vào ít nhất hai công ty tiền điện tử.
Các cuộc tấn công được thực hiện bằng cách khai thác phần mềm bảo mật hợp pháp được sử dụng độc quyền bởi các công ty tiền điện tử của Hàn Quốc. Phần mềm độc hại Durian chưa được tiết lộ trước đây đóng vai trò như một trình cài đặt, triển khai một dòng phần mềm gián điệp ổn định, bao gồm một cửa sau có tên “AppleSeed”, một công cụ proxy riêng biệt có tên LazyLoad và các chương trình chính hãng khác như Chrome Remote Desktop.
Kaspersky cho biết: “Durian tự hào có chức năng cửa sau toàn diện, cho phép thực thi các lệnh được gửi, tải xuống tệp bổ sung và trích xuất các tệp”.
Hơn nữa, công ty an ninh mạng đã phát hiện ra rằng LazyLoad cũng được sử dụng bởi Andariel, một tổ chức con trong tập đoàn hack Lazarus của Triều Tiên, ám chỉ mối liên hệ “mong manh” giữa Kimsuky và tổ chức hack khét tiếng hơn.
Xuất hiện lần đầu tiên vào năm 2009, Lazarus đã trở thành một trong những nhóm hacker tiền điện tử khét tiếng nhất.
Vào ngày 29 tháng 4, ZachXBT, một nhà điều tra blockchain độc lập, đã báo cáo rằng doanh nghiệp Lazarus đã rửa thành công hơn 200 triệu đô la tiền điện tử bất chính từ năm 2020 đến năm 2023.
Vào tháng 5, Hội đồng Bảo an Liên Hợp Quốc đã công bố một báo cáo cho thấy sự tham gia ngày càng tăng của Triều Tiên vào các cuộc tấn công mạng, hiện chiếm gần một nửa thu nhập ngoại tệ của nước này. Mặc dù các cuộc điều tra vẫn đang tiếp tục nhưng Tập đoàn Lazarus bị nghi ngờ đã đánh cắp hơn 3 tỷ USD tài sản tiền điện tử trong suốt 6 năm, đỉnh điểm là vào năm 2023.
Lazarus bị buộc tội đánh cắp hơn 17% – tương đương hơn 300 triệu USD – trong tổng số tiền bị đánh cắp vào năm 2023. Theo phân tích của Immunefi công bố vào ngày 28 tháng 12, hơn 1,8 tỷ USD tiền điện tử đã bị mất do các cuộc tấn công và khai thác vào năm 2023.
Nhóm khét tiếng Lazarus đã được báo cáo là sử dụng rộng rãi các công cụ trộn tiền điện tử trong hoạt động của họ để che giấu nguồn gốc của số tiền bị đánh cắp. Khi những lo ngại về hoạt động rửa tiền thông qua các giao thức bảo mật vẫn tồn tại, Railgun, một giao thức phổ biến, đã bác bỏ cáo buộc về việc tin tặc Triều Tiên hoặc các cá nhân bị trừng phạt sử dụng.
Các tuyên bố được đưa ra ánh sáng sau tuyên bố của FBI vào tháng 1 năm 2023 cho thấy rằng Tập đoàn Lazarus của Triều Tiên đã rửa hơn 60 triệu đô la Ethereum thông qua Railgun sau một cuộc tấn công mạng vào tháng 6 năm 2022.
Sau các lệnh trừng phạt của Hoa Kỳ đối với máy trộn tiền điện tử phổ biến Tornado Cash , đã có suy đoán rằng Railgun đang trở thành một giải pháp thay thế ưa thích cho các hoạt động như vậy.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News