Gần đây, các nhà nghiên cứu bảo mật của Kaspersky phát hiện một số bằng chứng cho thấy Lazarus đã thay đổi phương thức tấn công và đẩy mạnh chiến dịch đánh cắp tiền điện tử.

Lazarus là nhóm tin tặc khét tiếng bị tình nghi có mối quan hệ chặt chẽ với chính phủ Triều Tiên. Đây là một trong những băng nhóm tội phạm mạng hoạt động tích cực nhất trong những năm gần đây, với nhiều vụ tấn công quy mô lớn liên quan đến tiền điện tử.

Theo Kaspersky, Lazarus đang thực hiện các bước tấn công cẩn thận hơn, sử dụng những chiến thuật và quy trình cải tiến để thực hiện trót lọt nhiều phi vụ đánh cắp tiền điện tử. Nói cách khác, nhóm tội phạm mạng này đã điều chỉnh cách thức lây nhiễm vào hệ thống sao cho vừa an toàn, vừa thu được tiền điện tử bất hợp pháp từ các hệ thống máy và nạn nhân bị xâm nhập. Để tránh bị phát hiện, mã độc Lazarus đã tấn công thực thi trong bộ nhớ thay vì chạy từ ổ đĩa cứng.

Nhóm tin tặc Lazarus đang sử dụng Telegram để đánh cắp tiền điện tử

Các nhà nghiên cứu cho biết Lazarus đang sử dụng ứng dụng nhắn tin Telegram – vốn phổ biến trong cộng đồng tiền điện tử – làm vector tấn công chính.

Chiến thuật tấn công mới được đặt tên là “Chiến dịch AppleJeus Sequel”. Sự phát triển của chiến dịch AppleJeus được công bố lần đầu vào năm 2018 và diễn ra trong suốt năm 2019.

Cũng như những chiến thuật tấn công trước, Kaspersky cho biết Lazarus đã sử dụng các công ty giao dịch tiền điện tử giả để dụ dỗ nạn nhân. Những công ty giả này có các trang web hoàn chỉnh liên kết đến các nhóm giao dịch Telegram cũng giả mạo, mã độc được phát tán thông qua trình nhắn tin.

Kasspersky đã dẫn chứng một hệ thống Windows bị nhiễm mã khai thác độc hại được gửi đến thiết bị thông qua ứng dụng tin nhắn Telegram Messenger. Sau khi hệ thống bị xâm nhập, kẻ tấn công có quyền truy cập từ xa và kiểm soát hoàn toàn thiết bị để tiếp tục khai thác tiền điện tử.

Trong quá trình nghiên cứu, Kaspersky đã tìm thấy một số trang web giao dịch tiền điện tử giả mạo và nghi ngờ chúng được tạo ra bằng cách sử dụng những mẫu web miễn phí.

Nhóm tin tặc Lazarus đang sử dụng Telegram để đánh cắp tiền điện tử

Trong hình ảnh bên dưới là một trong những trang giả mạo có liên kết hoạt động với một nhóm Telegram. Kaspersky phát hiện ra Telegram được sử dụng để vận chuyển mã khai thác (payload) của Lazarus, do chính nhóm này tạo ra từ tháng 12/2018.

Nhóm tin tặc Lazarus đang sử dụng Telegram để đánh cắp tiền điện tử

Các nhà nghiên cứu đã xác định được một số nạn nhân của chiến dịch tấn công ở Anh, Ba Lan, Nga và Trung Quốc. Trong đó, đa số nạn nhân là doanh nghiệp tiền điện tử.

Tên tuổi của nhóm tin tặc Lazarus hầu như luôn gắn liền với những phi vụ đánh cắp tiền ảo. Thống kê năm 2018, nhóm tội phạm này đã đánh cắp 571 triệu USD tiền điện tử với 5 vụ tấn công. Đây là tổ chức hack tiền ảo có thu nhập cao nhất thế giới. Giá trị của tiền điện tử hoặc các khoản tiền khác mà Lazarus có được trong chiến dịch lần này chưa được tiết lộ.

Nhóm tin tặc Lazarus đang sử dụng Telegram để đánh cắp tiền điện tử

Theo báo cáo Liên Hợp Quốc công bố vào tháng 8 năm ngoái, Lazarus đã hack các tổ chức tài chính và trao đổi tiền điện tử nước ngoài và đánh cắp số tiền lên đến 2 tỷ USD. Với những cập nhật về chiến dịch từ Kaspersky, hy vọng Lazarus sẽ giảm bớt hoạt động tấn công.

Để bảo vệ tổ chức khỏi các cuộc tấn công tiền ảo, Kapspersky khuyên các doanh nghiệp tiền điện tử áp dụng các biện pháp sau:

• Đào tạo, nâng cao nhận thức bảo mật cơ bản cho nhân viên để họ có thể phân biệt các hoạt động lừa đảo

• Thực hiện đánh giá bảo mật ứng dụng. Việc nàycó thể giúp tổ chức chứng minh độ tin cậy của mình với những nhà đầu tư tiềm năng

• Giám sát các lỗ hổng mới xuất hiện trong quá trình thực hiện hợp đồng thông minh

Đối với người dùng đã biết về tiền điện tử hoặc đang có ý định sử dụng, Kaspersky khuyến nghị:

• Chỉ sử dụng các nền tảng tiền điện tử đáng tin cậy và đã được bảo đảm

• Không nhấp vào các liên kết đáng ngờ dẫn đếnngân hàng trực tuyến hoặc ví web

• Sử dụng giải pháp bảo mật đáng tin cậy để bảo vệ toàn diện khỏi nhiều mối đe dọa như Kaspersky Security Cloud