Tin tặc Triều Tiên triển khai phần mềm độc hại “Sầu riêng” mới chống lại các công ty tiền điện tử Hàn Quốc

Nhóm tin tặc Triều Tiên Kimsuky được cho là đang sử dụng một biến thể phần mềm độc hại mới có tên "Durian" trong một cuộc tấn công chống lại các công ty tiền điện tử của Hàn Quốc.

Vụ việc được nêu chi tiết trong một báo cáo tình báo về mối đe dọa mà Kaspersky công bố vào tuần trước. Phần mềm độc hại này chỉ được triển khai để phá vỡ và khai thác phần mềm bảo mật được các công ty tiền điện tử Hàn Quốc sử dụng, ít nhất hai trong số đó đã được xác định chính xác.

"Kết quả đo từ xa của chúng tôi cho thấy hai sự thỏa hiệp trong ngành công nghiệp tiền điện tử của Hàn Quốc. Lần đầu tiên diễn ra vào tháng 8 năm 2023 và lần thứ hai diễn ra vào tháng 11 năm 2023. Điều thú vị là chúng tôi chưa xác định được những nạn nhân khác bị tấn công trong các chiến dịch này, điều này điển hình cho tính chất rất nhắm mục tiêu của kẻ diễn viên,” báo cáo cho biết.

Durian là phần mềm độc hại thuộc giai đoạn "giai đoạn ban đầu" trình cài đặt. Nó cài đặt nhiều phần mềm độc hại hơn và tạo ra cơ chế tồn tại lâu dài trong thiết bị hoặc trường hợp bị nhiễm. Khi chạy, phần mềm độc hại sẽ tạo một trình tải giai đoạn và cài đặt nó vào hệ điều hành bị nhiễm để thực thi.

Quá trình cài đặt phần mềm độc hại được hoàn tất bằng một tải trọng được viết trên Golang, một ngôn ngữ lập trình nguồn mở do Google phát triển.

Tải trọng cuối cùng sau đó cho phép thực thi lệnh từ xa để ra lệnh cho thiết bị bị xâm nhập tải xuống và trích xuất các tệp. Ngôn ngữ được sử dụng cũng làm dấy lên nghi ngờ vì Golang rất mạnh trong các máy nối mạng và cơ sở mã rộng lớn.

Báo cáo thậm chí còn đáng kinh ngạc hơn khi tiết lộ rằng một trong những công cụ được Durian sử dụng, có tên là LazyLoad, trên thực tế đang được sử dụng bởi Andariel, một nhóm nhỏ của câu lạc bộ hack khét tiếng của Triều Tiên, Lazarus. Điều này, một cách tự nhiên, để ngỏ tiềm năng cho một số hình thức liên kết giữa Kimsuky và Lazarus—một điểm mà Kaspersky khó có thể cho rằng tốt nhất là "mong manh".

Lazarus Group, lần đầu tiên xuất hiện vào năm 2009, là một trong những nhóm hacker tiền điện tử khét tiếng nhất. Thám tử onchain độc lậpZachXBT gần đây đã tiết lộ rằng nhóm này đã rửa được hơn 200 triệu đô la tiền điện tử bất chính từ năm 2020 đến năm 2023. Tổng cộng, Lazarus bị cáo buộc lừa đảo hơn 3 tỷ đô la tài sản tiền điện tử trong sáu năm tính đến năm 2023.

Tòa án Mỹ đã ra lệnh tịch thu279 tài khoản tiền điện tử liên quan đến các sự cố đe dọa của Triều Tiên vào tuần trước.