Các tác nhân đe dọa liên quan đến Triều Tiên đang tiếp tục nhắm mục tiêu vào cộng đồng an ninh mạng bằng cách sử dụng lỗi zero-day trong một phần mềm không xác định trong vài tuần qua để xâm nhập vào máy của họ.
Phát hiện này đến từ Nhóm phân tích mối đe dọa (TAG) của Google, nhóm đã phát hiện ra kẻ thù đã thiết lập tài khoản giả trên các nền tảng truyền thông xã hội như X (trước đây là Twitter) và Mastodon để tạo dựng mối quan hệ với các mục tiêu tiềm năng và tạo dựng niềm tin.
Các nhà nghiên cứu bảo mật Clement Lecigne và Maddie Stone cho biết : “Trong một trường hợp, họ đã tiến hành một cuộc trò chuyện kéo dài hàng tháng, cố gắng cộng tác với một nhà nghiên cứu bảo mật về các chủ đề mà cả hai cùng quan tâm” . “Sau lần liên hệ đầu tiên qua X, họ đã chuyển sang ứng dụng nhắn tin được mã hóa như Signal, WhatsApp hoặc Wire.”
Hoạt động kỹ thuật xã hội cuối cùng đã mở đường cho một tệp độc hại chứa ít nhất một ngày số 0 trong gói phần mềm phổ biến. Lỗ hổng hiện đang trong quá trình được khắc phục.
Về phần mình, tải trọng thực hiện một số kiểm tra chống máy ảo (VM) và truyền thông tin được thu thập cùng với ảnh chụp màn hình trở lại máy chủ do kẻ tấn công kiểm soát.
Tìm kiếm trên X cho thấy tài khoản hiện đang bị treo đã hoạt động ít nhất từ tháng 10 năm 2022, trong đó kẻ tấn công đã phát hành mã khai thác bằng chứng khái niệm (PoC) cho các lỗi leo thang đặc quyền có mức độ nghiêm trọng cao trong Windows Kernel chẳng hạn như CVE-2021 -34514 và CVE-2022-21881 .
Đây không phải là lần đầu tiên các diễn viên Triều Tiên lợi dụng chiêu dụ theo chủ đề hợp tác để lây nhiễm cho nạn nhân. Vào tháng 7 năm 2023, GitHub đã tiết lộ thông tin chi tiết về một chiến dịch npm trong đó các đối thủ được theo dõi là TraderTraitor (hay còn gọi là Jade Sleet) đã sử dụng các nhân cách giả để nhắm mục tiêu vào lĩnh vực an ninh mạng, cùng những lĩnh vực khác.
Công ty thuộc sở hữu của Microsoft cho biết: “Sau khi thiết lập liên lạc với mục tiêu, kẻ đe dọa mời mục tiêu cộng tác trên kho lưu trữ GitHub và thuyết phục mục tiêu sao chép và thực thi nội dung của nó”.
Google TAG cho biết họ cũng tìm thấy một công cụ Windows độc lập có tên "GetSymbol" do những kẻ tấn công phát triển và lưu trữ trên GitHub như một vật trung gian lây nhiễm thứ cấp tiềm ẩn. Nó đã được phân nhánh 23 lần cho đến nay.
Phần mềm gian lận, được xuất bản trên dịch vụ lưu trữ mã vào tháng 9 năm 2022 và được cập nhật nhiều lần trước khi bị gỡ xuống, cung cấp phương tiện để "tải xuống các biểu tượng gỡ lỗi từ máy chủ biểu tượng Microsoft, Google, Mozilla và Citrix cho các kỹ sư đảo ngược".
Nhưng nó cũng đi kèm với khả năng tải xuống và thực thi mã tùy ý từ miền lệnh và kiểm soát (C2).
Tiết lộ này được đưa ra khi Trung tâm ứng phó khẩn cấp an ninh AhnLab (ASEC) tiết lộ rằng kẻ lừa đảo quốc gia của Triều Tiên có tên là ScarCruft đang tận dụng các tệp LNK thu hút trong các email lừa đảo để cung cấp một cửa sau có khả năng thu thập dữ liệu nhạy cảm và thực thi các hướng dẫn độc hại.
Nó cũng theo sau những phát hiện mới từ Microsoft rằng “nhiều kẻ đe dọa Triều Tiên gần đây đã nhắm mục tiêu vào chính phủ và ngành công nghiệp quốc phòng Nga – có thể là để thu thập thông tin tình báo – đồng thời cung cấp hỗ trợ vật chất cho Nga trong cuộc chiến với Ukraine”.
Việc nhắm mục tiêu vào các công ty quốc phòng Nga cũng được SentinelOne nhấn mạnh vào tháng trước, tiết lộ rằng cả Lazarus Group (còn gọi là Diamond Sleet hoặc Labyrinth Chollima) và ScarCruft (còn gọi là Ricochet Chollima hoặc Ruby Sleet) đã vi phạm NPO Mashinostroyeniya, một công ty kỹ thuật tên lửa ở Moscow, để tạo điều kiện thuận lợi cho việc này. thu thập tình báo.
Hai kẻ này cũng đã được quan sát thấy xâm nhập vào các công ty sản xuất vũ khí có trụ sở tại Đức và Israel từ tháng 11 năm 2022 đến tháng 1 năm 2023, chưa kể đến việc xâm phạm một viện nghiên cứu hàng không vũ trụ ở Nga cũng như các công ty quốc phòng ở Brazil, Séc, Phần Lan, Ý, Na Uy và Ba Lan kể từ đầu năm.
“Điều này cho thấy chính phủ Triều Tiên đang giao cho nhiều nhóm tác nhân đe dọa cùng một lúc để đáp ứng các yêu cầu thu thập ưu tiên cao nhằm cải thiện khả năng quân sự của đất nước”, gã khổng lồ công nghệ cho biết.
Đó không phải là gián điệp mạng. Đầu tuần này, Cục Điều tra Liên bang Hoa Kỳ (FBI) đã chỉ ra Tập đoàn Lazarus đứng sau vụ trộm 41 triệu USD tiền ảo từ Stake.com, một nền tảng cá cược và sòng bạc trực tuyến.
Họ cho biết số tiền bị đánh cắp liên quan đến mạng Ethereum, Binance Smart Chain (BSC) và Polygon từ Stake.com đã được chuyển đến 33 ví khác nhau vào khoảng ngày 4 tháng 9 năm 2023.
“Các tác nhân đe dọa mạng của Triều Tiên theo đuổi các hoạt động mạng nhằm (1) thu thập thông tin tình báo về hoạt động của các đối thủ được cho là của nhà nước: Hàn Quốc, Hoa Kỳ và Nhật Bản, (2) thu thập thông tin tình báo về khả năng quân sự của các quốc gia khác để cải thiện năng lực quân sự của chính họ. và (3) thu tiền điện tử cho nhà nước,” Microsoft cho biết.