Lazarus tăng cường hoạt động tấn công tiền ảo dưới tên AppleJeus, bắt đầu tấn công hệ điều hành MacOS

Năm 2018, Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã công bố những phát giác về AppleJeus – với hành vi đánh cắp tiền ảo được thi hành bởi nhóm hacker đình đám Lazarus. Giờ đây, những phát hiện mới còn cho biết hoạt động này đang tiếp tục với động thái cẩn thận hơn từ nhóm tin tặc, cùng các chiến thuật và quy trình tinh vi, cũng giống sử dụng Telegram là một trong những vector tấn công mới. Các nạn nhân tại Anh, Ba Lan, Nga và Trung Quốc, cho dù là một số tổ chức kết nối với những công ty buôn bán tiền điện tử cũng đã biết thành ảnh hưởng.

Ảnh minh hoạ: Kaspersky.

Kaspersky cho biết Lazarus là một trong những nhóm hacker APT hoạt động tích cực nhất, đã thực hiện biết bao cuộc tấn công nhắm vào những tổ chức liên quan đến tiền điện tử. 

Trong thời gian đầu hoạt động vào năm 2018, AppleJeus đã tự tạo một công ty tiền điện tử giả mạo để cung cấp ứng dụng đang bị chúng thao túng và lợi dụng lòng tin của nạn nhân để thực hành tấn công. Hoạt động này được đánh dấu bằng động thái Lazarus thành lập phần mềm độc hại tiến công macOS đầu tiên của mình. 

Ứng dụng được người dùng tải xuống từ những trang web của bên thứ ba và mã độc bị phát tán bằng phương pháp ngụy trang dưới dạng bản cập nhật ứng dụng thông thường. Mã độc cho phép tin tặc giành quyền kiểm soát tận gốc thiết bị của người sử dụng và từ đấy đánh cắp tiền ảo.

Các nhà nghiên cứu của Kaspersky đã định vị những thay đổi chiến thuật quan trọng của tập thể nhóm tấn công. Vector tấn công năm 2019 về cơ bản khá giống với năm 2018, nhưng được cải tiến hơn. Lần này, Lazarus đã tạo ra các trang web tiền ảo giả, nơi chứa liên kết đến các kênh Telegram giả mạo của tổ chức và phát tán mã độc thông qua trình nhắn tin.

Giống như hoạt động ban đầu của AppleJeus, qui trình tấn công gồm hai giai đoạn. Trước tiên, khi người dùng tải xuống một ứng dụng, trình tải xuống được liên kết sẽ lấy mã độc từ một máy server từ xa, cấp phép tin tặc khống chế hoàn toàn thiết bị bị nhiễm mã độc bằng một backdoor vĩnh viễn. Tuy nhiên, lần này mã độc được phát tán một cách cẩn thận để tránh bị phát giác bởi những biện pháp bảo mật dựa trên hành vi. 

Đối với các tấn công vào mục tiêu chạy hệ điều hành macOS, một cơ chế xác thực đã được thêm nữa trình tải xuống macOS và bộ khung phát triển đã được thay đổi. Ngoài ra, một kỹ thuật lây nhiễm không chứa tệp cũng được áp dụng. 

Khi nhắm mục đích đến người sử dụng Windows, tin tặc sẽ tránh sử dụng mã độc Fallchill (được sử dụng trong hoạt động của AppleJeus thời gian đầu) và tạo ra một mã độc chỉ chạy trên những hệ thống cụ thể sau khi kiểm tra chúng theo một số chỉ tiêu nhất định. Những thay đổi này cho biết tin tặc đã cẩn thận hơn khi tiến hành tiến công bằng cách dùng nhiều cách thức mới để khỏi bị phát hiện.

Lazarus cũng đều có những thay đổi đáng kể cũng như tạo ra nhiều phiên bản không giống nhau cho mã độc tấn công macOS. Không giống như cuộc tiến công trước đó, khi Lazarus sử dụng mã nguồn mở QtBitcoinTrader để xây dựng trình cài đặt macOS thủ công, thì đối với AppleJeus Sequel, tin tặc bắt đầu sử dụng mã tự chế để thành lập trình cài đặt độc hại. Những thay đổi này cho thấy tác nhân dọa dẫm sẽ tiếp tục nâng cấp ứng dụng độc hại tiến công macOS và phát giác mới đây nhất của chúng mình cũng cho biết những thay đổi này.

Ông Seongsu Park, Nhà nghiên cứu bảo mật tại Kaspersky cho biết: “Giai đoạn kế đến trong hoạt động của AppleJeus chứng minh rằng mặc cho dấu hiệu chững lại của thị trường tiền điện tử gần đây, Lazarus vẫn tiếp tục đầu tư vào những cuộc tiến công liên quan đến tiền ảo, khiến chúng trở nên ngày càng tinh vi. Những thay đổi và hành động đa dạng hóa mã độc của chúng cho biết những cuộc tiến công tiền ảo cũng đều có thể sẽ tăng về con số và trở thành mối dọa dẫm nghiêm trọng trong thời gian tới.” 

Nhóm Lazarus, được biết tới với các hoạt động tấn công tinh vi và có liên kết với Triều Tiên, được ghi nhận không chỉ triển khai các cuộc tiến công gián điệp và tiến công mạng mà còn thực hiện nhiều cuộc tiến công có động cơ tài chính. Một số nhà nghiên cứu, trong đấy có chuyên gia từ Kaspersky, đã từng có báo cáo về hoạt động của tập thể nhóm này nhắm mục tiêu vào các ngân hàng và doanh nghiệp tài chính lớn khác.