SentinelLabs, bộ phận nghiên cứu và tình báo mối đe dọa của công ty an ninh mạng SentinelOne, đã nghiên cứu một chiến dịch tấn công mới và tinh vi có tên NimDoor, nhắm vào các thiết bị macOS từ những kẻ xấu ở CHDCND Triều Tiên.
Kế hoạch phức tạp này bao gồm việc sử dụng ngôn ngữ lập trình Nim để đưa nhiều chuỗi tấn công vào các thiết bị được sử dụng trong các doanh nghiệp Web3 nhỏ, đây là xu hướng gần đây.
Nhà điều tra tự xưng ZachXBT cũng đã phát hiện ra một chuỗi thanh toán được thực hiện cho các nhân viên CNTT Hàn Quốc, có thể là một phần của nhóm tin tặc tài tình này.
Cuộc tấn công được thực hiện như thế nào
Báo cáo chi tiết của SentinelLabs mô tả một phương pháp mới lạ và khó hiểu để xâm phạm các thiết bị Mac.
Bắt đầu theo cách quen thuộc: mạo danh một người liên hệ đáng tin cậy để lên lịch cuộc họp qua Calendly, sau đó mục tiêu sẽ nhận được email để cập nhật ứng dụng Zoom.
Tập lệnh cập nhật kết thúc bằng ba dòng mã độc hại có chức năng truy xuất và thực thi tập lệnh giai đoạn hai từ máy chủ được kiểm soát đến liên kết cuộc họp Zoom hợp pháp.
Nhấp vào liên kết sẽ tự động tải xuống hai tệp nhị phân Mac, khởi tạo hai chuỗi thực thi độc lập: tệp đầu tiên sẽ xóa thông tin hệ thống chung và dữ liệu cụ thể của ứng dụng. Tệp thứ hai đảm bảo rằng kẻ tấn công sẽ có quyền truy cập lâu dài vào máy bị ảnh hưởng.
Chuỗi tấn công sau đó tiếp tục bằng cách cài đặt hai tập lệnh Bash thông qua Trojan. Một tập lệnh được sử dụng để nhắm mục tiêu dữ liệu từ các trình duyệt cụ thể: Arc, Brave, Firefox, Chrome và Edge. Tập lệnh còn lại đánh cắp dữ liệu được mã hóa của Telegram và blob được sử dụng để giải mã dữ liệu đó. Sau đó, dữ liệu được trích xuất đến máy chủ được kiểm soát.
Điều khiến cách tiếp cận này trở nên độc đáo và đầy thách thức đối với các nhà phân tích bảo mật là việc sử dụng nhiều thành phần phần mềm độc hại và nhiều kỹ thuật khác nhau để đưa và giả mạo phần mềm độc hại, khiến việc phát hiện trở nên rất khó khăn.
Theo dõi tiền
ZachXBT, một nhà điều tra blockchain ẩn danh, gần đây đã đăng trên X những phát hiện mới nhất của mình về các khoản thanh toán lớn được thực hiện cho nhiều nhà phát triển của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đang làm việc trên nhiều dự án khác nhau kể từ đầu năm.
Ông đã xác định được tám công nhân làm việc cho 12 công ty khác nhau.
Phát hiện của ông chỉ ra rằng 2,76 triệu đô la USDC đã được gửi từ các tài khoản Circle đến các địa chỉ liên quan đến các nhà phát triển mỗi tháng. Những địa chỉ này rất gần với một địa chỉ đã bị Tether đưa vào danh sách đen vào năm 2023, vì nó có liên quan đến kẻ chủ mưu bị cáo buộc là Sim Hyon Sop.
Zach vẫn tiếp tục theo dõi các nhóm địa chỉ tương tự, nhưng chưa công khai bất kỳ thông tin nào vì chúng vẫn còn hoạt động.
Ông đã đưa ra cảnh báo rằng một khi những công nhân này nắm quyền sở hữu hợp đồng, dự án cơ bản sẽ có nguy cơ cao.
“Tôi tin rằng khi một nhóm thuê nhiều DPRK ITW (nhân viên CNTT), đó là một chỉ báo hợp lý để xác định rằng công ty khởi nghiệp sẽ thất bại. Không giống như các mối đe dọa khác đối với ngành, những nhân viên này có ít sự tinh vi, vì vậy chủ yếu là kết quả của sự cẩu thả của chính nhóm.”
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Hãy Cẩn Thận! Tin Tặc Bắc Triều Tiên Nhắm Vào Người Dùng Mac Theo Cách Rất Sáng Tạo
SentinelLabs, bộ phận nghiên cứu và tình báo mối đe dọa của công ty an ninh mạng SentinelOne, đã nghiên cứu một chiến dịch tấn công mới và tinh vi có tên NimDoor, nhắm vào các thiết bị macOS từ những kẻ xấu ở CHDCND Triều Tiên. Kế hoạch phức tạp này bao gồm việc sử dụng ngôn ngữ lập trình Nim để đưa nhiều chuỗi tấn công vào các thiết bị được sử dụng trong các doanh nghiệp Web3 nhỏ, đây là xu hướng gần đây. Nhà điều tra tự xưng ZachXBT cũng đã phát hiện ra một chuỗi thanh toán được thực hiện cho các nhân viên CNTT Hàn Quốc, có thể là một phần của nhóm tin tặc tài tình này. Cuộc tấn công được thực hiện như thế nào Báo cáo chi tiết của SentinelLabs mô tả một phương pháp mới lạ và khó hiểu để xâm phạm các thiết bị Mac. Bắt đầu theo cách quen thuộc: mạo danh một người liên hệ đáng tin cậy để lên lịch cuộc họp qua Calendly, sau đó mục tiêu sẽ nhận được email để cập nhật ứng dụng Zoom. Tập lệnh cập nhật kết thúc bằng ba dòng mã độc hại có chức năng truy xuất và thực thi tập lệnh giai đoạn hai từ máy chủ được kiểm soát đến liên kết cuộc họp Zoom hợp pháp. Nhấp vào liên kết sẽ tự động tải xuống hai tệp nhị phân Mac, khởi tạo hai chuỗi thực thi độc lập: tệp đầu tiên sẽ xóa thông tin hệ thống chung và dữ liệu cụ thể của ứng dụng. Tệp thứ hai đảm bảo rằng kẻ tấn công sẽ có quyền truy cập lâu dài vào máy bị ảnh hưởng. Chuỗi tấn công sau đó tiếp tục bằng cách cài đặt hai tập lệnh Bash thông qua Trojan. Một tập lệnh được sử dụng để nhắm mục tiêu dữ liệu từ các trình duyệt cụ thể: Arc, Brave, Firefox, Chrome và Edge. Tập lệnh còn lại đánh cắp dữ liệu được mã hóa của Telegram và blob được sử dụng để giải mã dữ liệu đó. Sau đó, dữ liệu được trích xuất đến máy chủ được kiểm soát. Điều khiến cách tiếp cận này trở nên độc đáo và đầy thách thức đối với các nhà phân tích bảo mật là việc sử dụng nhiều thành phần phần mềm độc hại và nhiều kỹ thuật khác nhau để đưa và giả mạo phần mềm độc hại, khiến việc phát hiện trở nên rất khó khăn. Theo dõi tiền ZachXBT, một nhà điều tra blockchain ẩn danh, gần đây đã đăng trên X những phát hiện mới nhất của mình về các khoản thanh toán lớn được thực hiện cho nhiều nhà phát triển của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đang làm việc trên nhiều dự án khác nhau kể từ đầu năm. Ông đã xác định được tám công nhân làm việc cho 12 công ty khác nhau. Phát hiện của ông chỉ ra rằng 2,76 triệu đô la USDC đã được gửi từ các tài khoản Circle đến các địa chỉ liên quan đến các nhà phát triển mỗi tháng. Những địa chỉ này rất gần với một địa chỉ đã bị Tether đưa vào danh sách đen vào năm 2023, vì nó có liên quan đến kẻ chủ mưu bị cáo buộc là Sim Hyon Sop. Zach vẫn tiếp tục theo dõi các nhóm địa chỉ tương tự, nhưng chưa công khai bất kỳ thông tin nào vì chúng vẫn còn hoạt động. Ông đã đưa ra cảnh báo rằng một khi những công nhân này nắm quyền sở hữu hợp đồng, dự án cơ bản sẽ có nguy cơ cao. “Tôi tin rằng khi một nhóm thuê nhiều DPRK ITW (nhân viên CNTT), đó là một chỉ báo hợp lý để xác định rằng công ty khởi nghiệp sẽ thất bại. Không giống như các mối đe dọa khác đối với ngành, những nhân viên này có ít sự tinh vi, vì vậy chủ yếu là kết quả của sự cẩu thả của chính nhóm.”