Một nhóm hacker Triều Tiên đang triển khai phần mềm độc hại có tên là Durian nhắm vào các công ty tiền điện tử

Nhóm hacker Kimsuky, được cho là được nhà nước Bắc Triều Tiên hậu thuẫn, đã sử dụng một phiên bản phần mềm độc hại mới để tấn công ít nhất hai công ty tiền điện tử của Hàn Quốc.

Theo báo cáo mối đe dọa ngày 9 tháng 5 từ công ty an ninh mạng Kaspersky, nhóm hacker Triều Tiên Kimsuky đã sử dụng phần mềm độc hại mới này trong một loạt các cuộc tấn công nhắm mục tiêu vào ít nhất hai công ty tiền điện tử.

Các cuộc tấn công được thực hiện bằng cách khai thác phần mềm bảo mật hợp pháp được sử dụng độc quyền bởi các công ty tiền điện tử ở Hàn Quốc, cho thấy bản chất “dai dẳng” của chúng. Bằng cách lợi dụng những phần mềm đáng tin cậy này, hacker có thể vượt qua các biện pháp phòng thủ thông thường.

Phần mềm độc hại Durian, trước đây chưa được biết đến, hoạt động như một trình cài đặt, triển khai một loạt phần mềm độc hại liên tục bao gồm một backdoor được gọi là AppleSeed –  một công cụ proxy tùy chỉnh được gọi là LazyLoad và các công cụ hợp pháp khác như Chrome Remote Desktop.

Kaspersky viết: “Durian tự hào có chức năng backdoor toàn diện, cho phép thực hiện các lệnh được phân phối, tải xuống các tệp tin bổ sung và đánh cắp các tệp tin.” Ngoài ra, Kaspersky lưu ý rằng LazyLoad cũng được Andariel sử dụng, một nhóm nhỏ thuộc tổ hợp hacker Triều Tiên Lazarus Group – điều này cho thấy mối liên hệ “mong manh” giữa Kimsuky và nhóm hacker khét tiếng hơn.

Xuất hiện lần đầu vào năm 2009, Lazarus đã khẳng định mình là một trong những nhóm hacker tiền điện tử khét tiếng nhất.

Vào ngày 29 tháng 4, nhà điều tra độc lập về blockchain ZachXBT tiết lộ rằng nhóm Lazarus đã rửa thành công hơn $200M tiền điện tử bất chính trong khoảng thời gian từ năm 2020 đến năm 2023.

Tổng cộng, Lazarus bị cáo buộc đánh cắp hơn $3B tài sản tiền điện tử trong 6 năm tính đến năm 2023.

Lazarus được cho là đã đánh cắp hơn 17% – tương đương hơn $309M – trong tổng số tiền bị đánh cắp vào năm 2023. Trong suốt năm 2023, hơn $1.8B tiền điện tử đã bị mất do các vụ hack và khai thác lỗ hổng, theo báo cáo ngày 28 tháng 12 của Immunefi.

Nguồn: Kenhbit tổng hợp

Bài viết mới
Tin nổi bật