Nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết, DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên. Vào ngày 19/10, tin tặc đã giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm Telegram, nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử. Sau khi lấy được lòng tin của nạn nhân, tin tặc gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh cấu trúc phí VIP của các sàn giao dịch tiền điện tử.
Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một backdoor được mã hóa XOR và một tệp thực thi Windows hợp pháp sau đó được sử dụng để tải tệp DLL. DLL này sẽ giải mã và tải backdoor, từ đó giúp tin tặc giành được quyền truy cập từ xa vào hệ thống nạn nhân.
Bảng tính Excel sau đó sẽ không được bảo vệ nếu tệp Excel thứ hai được lưu trữ trong Base64 đã được cài đặt và kích hoạt. Điều này giúp đánh lừa người dùng bật macro và không gây nghi ngờ. Một payload thứ hai cũng được DEV-0139 sử dụng trong chiến dịch này. Đó là gói MSI cho ứng dụng CryptoDashboardV2, cho thấy nhóm cũng đứng sau các cuộc tấn công khác sử dụng kỹ thuật tương tự để phát tán các payload tùy chỉnh.
Hãng Volexity cuối tuần trước cho rằng nhóm tin tặc Lazarus (Triều Tiên) có liên quan đến chiến dịch lần này. Theo Volexity, các tin tặc Triều Tiên đã sử dụng bảng tính độc hại để thả AppleJeus, mã độc từng được Lazarus sử dụng để đánh cắp tiền điện tử và các tài sản kỹ thuật số khác. Volexity cũng quan sát thấy Lazarus sử dụng bản sao trang web sàn giao dịch tiền điện tử tự động HaasOnline để phân phối phiên bản đã bị trojan hóa của ứng dụng BloxHolder. Phiên bản này có nhiệm vụ triển khai phần mềm độc hại AppleJeus đi kèm trong ứng dụng QTBitcoinTrader.
Microsoft cho biết hãng đã thông báo cho những khách hàng bị xâm phạm hoặc bị nhắm mục tiêu trong cuộc tấn công này, đồng thời chia sẻ thông tin cần thiết để bảo mật tài khoản.
Lazarus là một nhóm hacker Bắc Triều Tiên đã hoạt động hơn một thập kỷ, ít nhất là kể từ năm 2009. Nhóm này được biết đến với các cuộc tấn công vào các mục tiêu cao cấp trên toàn thế giới, bao gồm ngân hàng, tổ chức truyền thông và cơ quan chính phủ. Nhóm được cho là chịu trách nhiệm cho các cuộc tấn công mạng lớn, bao gồm vụ hack Sony Pictures năm 2014 và cuộc tấn công mã độc tống tiền WannaCry năm 2017.
Lê Yến
13:00 | 02/12/2022
14:00 | 31/03/2023
09:00 | 09/01/2023
15:00 | 20/12/2023
13:00 | 24/08/2022
10:00 | 24/04/2024
14:00 | 22/06/2023
07:00 | 16/09/2024
14:00 | 24/09/2021
14:00 | 19/02/2024
08:00 | 25/01/2024
14:00 | 24/08/2023
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
09:00 | 08/10/2024