Nhóm Lazarus là một trong những nhóm APT tích cực nhất trên thế giới, hoạt động từ năm 2009. Không giống như hầu hết các nhóm APT được nhà nước bảo trợ, những kẻ đe dọa APT liên kết với Lazarus đã coi lợi ích tài chính là một trong những mục tiêu chính của chúng. Khi thị trường tiền điện tử phát triển với thị trường token không thể giao dịch (NFT) và tài chính phân tán (DeFi), Lazarus tiếp tục tìm ra những cách mới để nhắm mục tiêu đến người dùng tiền điện tử.
Lazarus: Nó là gì và làm thế nào để bảo vệ nó?
Vào tháng 12 năm 2021, các nhà nghiên cứu của Kaspersky đã phát hiện ra một hoạt động phần mềm độc hại mới đang cố gắng đánh cắp tiền điện tử bằng ứng dụng Trojan DeFi do nhóm Lazarus cung cấp. Ứng dụng này bao gồm một chương trình hợp pháp có tên DeFi Wallet để đăng ký và quản lý ví tiền điện tử. Khi ứng dụng được chạy, một tệp độc hại sẽ được đặt bên cạnh trình cài đặt ứng dụng hợp pháp và phần mềm độc hại sẽ được khởi chạy thông qua trình cài đặt Trojan. Sau đó, phần mềm độc hại được tạo ra sẽ được áp dụng trên ứng dụng hợp pháp có áp dụng Trojan.
Phần mềm độc hại được sử dụng trong đợt lây nhiễm này là một cửa hậu đầy đủ tính năng với khả năng điều khiển từ xa hệ thống của nạn nhân. Khi kẻ tấn công đã chiếm quyền kiểm soát hệ thống, chúng có thể xóa các tệp, thu thập thông tin, kết nối với các địa chỉ IP cụ thể và liên lạc với máy chủ chỉ huy và điều khiển. Dựa trên lịch sử các cuộc tấn công của Lazarus, các nhà nghiên cứu đưa ra giả thuyết rằng động cơ đằng sau hoạt động này là thu lợi tài chính. Sau khi kiểm tra chức năng của cửa hậu này, các nhà nghiên cứu của Kaspersky, cùng với các công cụ khác được nhóm Lazarus sử dụng, CookieThời gian Và Đe dọaKim đã phát hiện ra nhiều điểm tương đồng với các cụm phần mềm độc hại. Sơ đồ lây nhiễm nhiều giai đoạn cũng được sử dụng nhiều trong cơ sở hạ tầng của Lazarus.
Seongsu Park, Nhà nghiên cứu bảo mật cấp cao tại Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT), cho biết: “Chúng tôi đã quan sát thấy sự quan tâm của Lazarus đối với ngành công nghiệp tiền điện tử một thời gian và chúng tôi thấy họ nghĩ ra các phương pháp tinh vi để thu hút nạn nhân của mình. mà không chú ý đến quá trình lây nhiễm. Các ngành công nghiệp dựa trên tiền điện tử và blockchain tiếp tục phát triển và thu hút mức đầu tư cao hơn. Đây là lý do tại sao chúng không chỉ thu hút những kẻ lừa đảo và lừa đảo mà còn cả những người chơi lớn, bao gồm cả các nhóm APT có động cơ tài chính. Với sự phát triển của thị trường tiền điện tử, chúng tôi nghĩ rằng sự quan tâm của Lazarus đối với ngành này sẽ không sớm giảm đi. Trong một chiến dịch gần đây, Lazarus đã lợi dụng tình hình bằng cách mạo danh một ứng dụng DeFi hợp pháp và phát tán phần mềm độc hại, một chiến thuật thường được sử dụng trong hoạt động săn tiền điện tử. Đó là lý do tại sao chúng tôi kêu gọi các công ty cảnh giác với các liên kết và tệp đính kèm email không xác định, ngay cả khi chúng có vẻ quen thuộc và an toàn.”
danh sách bảo mật.com Bạn có thể tìm hiểu thêm về hoạt động mới của Lazarus tại
Để tránh các cuộc tấn công có chủ đích từ các tác nhân đe dọa đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky khuyến nghị các biện pháp phòng ngừa sau:
- Mạng phải được kiểm tra an ninh mạng và giám sát liên tục để khắc phục các điểm yếu hoặc các phần tử độc hại được phát hiện trong phạm vi hoặc bên trong mạng.
- Vì hầu hết các cuộc tấn công có chủ đích đều bắt đầu bằng lừa đảo hoặc các kỹ thuật lừa đảo xã hội khác, đào tạo vệ sinh an ninh mạng cơ bản nên được đưa ra.
- Nhân viên phải được biết chỉ tải xuống phần mềm và ứng dụng di động từ các nguồn đáng tin cậy và cửa hàng ứng dụng chính thức.
- Nên sử dụng sản phẩm EDR để đảm bảo phát hiện kịp thời các sự cố và ứng phó với các mối đe dọa nâng cao. Các dịch vụ như Phát hiện và Phản hồi được quản lý của Kaspersky cung cấp khả năng săn tìm mối đe dọa trước các cuộc tấn công có chủ đích.
- Một công cụ có thể bảo vệ các giao dịch tiền điện tử bằng cách phát hiện và ngăn chặn hành vi trộm cắp tài khoản, giao dịch không báo trước và rửa tiền. giải pháp chống gian lận nên được thông qua.
