“Chúng tôi quan sát thấy nhóm Lazarus đã liên tục phát triển như thế nào từ việc tiến hành các chiến dịch gián điệp mạng trên toàn thế giới tới các cuộc tấn công chống lại các ngân hàng lớn. Năm ngoái, chúng tôi đã cảnh báo rằng chúng đã thực sự không theo dõi dữ liệu của bạn nữa, nhưng không, những kẻ tấn công được hỗ trợ bởi chính phủ hiện đang tăng cường tấn công tinh vi và mở rộng phạm vi của chúng để đánh cắp nhiều tiền hơn và đánh lừa cả ngành công nghiệp an ninh mạng”, ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao, Nhóm Nghiên cứu và Phân tích toàn cầu mối đe dọa (GReAT), Kaspersky Lab APAC cho biết.
Các nhà nghiên cứu của Kaspersky Lab đã phân tích chi tiết pháp lý về các hoạt động độc hại mới của nhóm APT, bước đầu trông giống như một cuộc tấn công chuỗi cung ứng. Dưới tên AppleJeus, cuộc tấn công đã xâm nhập người dùng thông qua ứng dụng kinh doanh đã bị lây nhiễm có tên Celas Trade Pro, được phát triển bởi một công ty TNHH hợp pháp có tên Celas.
Trojan là phần mềm độc hại thường đóng giả phần mềm hợp pháp. Một khi được kích hoạt, Trojan cho phép tội phạm mạng theo dõi người dùng, đánh cắp dữ liệu nhạy cảm và xâm nhập vào hệ thống bằng backdoor.
Các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy việc mất gần 2 triệu USD tiền điện tử tại Hàn Quốc là hoạt động của nhóm Lazarus. Nhà nghiên cứu của Kaspersky Lab tin rằng nhóm này nhắm vào ví tiền điện tử của người dùng chương trình HTA của CoinIS (Home Trading Application) bằng tấn công chuỗi cung ứng. Sau đó, những tin tặc khét tiếng này đã “nâng cấp” trò chơi của chúng bằng một chiến lược phức tạp hơn: các cuộc tấn công giả mạo chuỗi cung ứng để đánh cắp tiền điện tử.
Các nhà nghiên cứu đã xem xét nhà phát triển ứng dụng giao dịch bị Trojan lây nhiễm và phát hiện ra rằng trong khi công ty Celas sở hữu chứng chỉ SSL hợp lệ để ký tên phần mềm và hồ sơ đăng ký hợp pháp cho tên miền, thì địa chỉ đăng ký trong giấy chứng nhận đã dẫn đến vị trí sai, dựa trên thông tin có sẵn công khai được truy lục trong quá trình điều tra.
Nhóm APT đã phát triển phần mềm độc hại sở hữu module trinh sát với các khả năng tương tự khi được khởi chạy trên phần mềm Windows hoặc MacOS. Loại phần mềm độc hại này sẽ đánh giá một thiết bị có đáng bị tấn công hay không trước khi làm lây nhiễm bằng một Trojan được gọi là Fallchill dưới dạng bản cập nhật phần mềm. Trojan cũ nhưng đáng tin này là một công cụ khác được biết đến liên quan đến Lazarus.
“Với các cuộc tấn công lớn chẳng hạn như đánh cắp tiền tại ngân hàng Bangladesh và mã độc tống tiền WannaCry, và nhiều cái tên khác thì Lazarus là cái tên luôn hiện diện trong thế giới an ninh mạng và chúng khá giỏi trong việc che giấu và bành trướng hoạt động. Nỗ lực mở rộng mà chúng tạo ra phần mềm độc hại được cho là an toàn trong môi trường MacOS, với các chi tiết phức tạp cần thiết để tạo ra một ứng dụng và công ty phần mềm núp bóng hợp pháp, chứng tỏ chúng sẽ không dừng lại. Sẽ còn nhiều cuộc tấn công nữa và chúng ta phải luôn trong tư thế sẵn sàng”, ông Park nói thêm.
Để tăng cường khả năng phòng thủ của các thiết bị tiêu dùng và mạng công ty từ các cuộc tấn công như AppleJeus, Kaspersky Lab khuyên người dùng thận trọng hơn khi lựa chọn nhà cung cấp bên thứ ba, cẩn thận hơn khi tin tưởng các ứng dụng, chứng chỉ và nhà phát triển phần mềm hợp pháp.
Một giải pháp tiên tiến cho phép các doanh nghiệp phát hiện các cuộc tấn công có chủ đích và các hành động nguy hiểm khác thông qua giám sát cẩn thận hoạt động mạng, web và email, như Kaspersky Anti Targeted Attack, có thể cung cấp thêm một lớp bảo vệ chống lại các mối đe dọa tài chính phức tạp.
Theo ICT News