Nhóm Lazarus và Chiến Dịch Mach-O Man
Nhóm Lazarus của Triều Tiên đang sử dụng phần mềm độc hại macOS mang tên “Mach-O Man” cùng với các lời mời họp giả để tấn công các giám đốc điều hành trong lĩnh vực tiền điện tử, nhằm chiếm đoạt tài sản và tài trợ cho các cuộc tấn công DeFi trị giá hàng trăm triệu đô la.
Chiến Dịch Tấn Công
Lazarus, một nhóm hacker được nhà nước Triều Tiên hỗ trợ, đã triển khai một chiến dịch phần mềm độc hại mới nhằm vào các giám đốc điều hành trong lĩnh vực fintech và tiền điện tử, theo báo cáo của công ty bảo mật blockchain CertiK. Chiến dịch này, được gọi là “Mach-O Man”, kết hợp kỹ thuật xã hội với các payload ở cấp độ terminal để đánh cắp tiền điện tử và dữ liệu nhạy cảm của công ty mà gần như không để lại dấu vết nào trên ổ đĩa.
Kỹ Thuật ClickFix
Các nhà nghiên cứu của CertiK cho biết chiến dịch này dựa vào kỹ thuật ClickFix, trong đó các nạn nhân bị lừa dán những gì trông giống như các lệnh “sửa chữa” hoặc “xác minh” vào Terminal của macOS trong các quy trình hỗ trợ hoặc họp giả. Trong trường hợp này, các mồi nhử xuất hiện dưới dạng lời mời họp trực tuyến giả mạo, khiến nạn nhân dán các lệnh sửa chữa độc hại vào terminal của Mac.
Bộ công cụ này tự động xóa sau khi sử dụng, gây khó khăn cho việc điều tra.
Phân Phối và Mục Tiêu
Theo công ty tình báo mối đe dọa SOC Prime, khung “Mach-O Man” liên quan đến đơn vị Chollima nổi tiếng của Lazarus và được phân phối qua các tài khoản Telegram bị xâm phạm cùng các lời mời họp giả nhắm vào các tổ chức tiền điện tử và tài chính có giá trị cao. Bộ công cụ này, theo CoinDesk, bao gồm nhiều tệp nhị phân Mach-O được thiết kế để lập hồ sơ máy chủ, thiết lập tính liên tục và lấy cắp thông tin đăng nhập cũng như dữ liệu trình duyệt thông qua lệnh và kiểm soát dựa trên Telegram.
Hệ Thống Tấn Công Phức Tạp
Google Cloud’s Mandiant trước đây đã mô tả các chiến dịch macOS tương tự kết hợp ClickFix với video deepfake hỗ trợ AI, các cuộc gọi Zoom giả và các tài khoản nhắn tin bị chiếm đoạt để thúc đẩy mục tiêu thực hiện các lệnh bị che giấu. “Chiến dịch này đã sử dụng một tài khoản Telegram bị xâm phạm, một cuộc họp Zoom giả và sự lừa dối hỗ trợ AI để lừa nạn nhân thực hiện các lệnh terminal dẫn đến một chuỗi lây nhiễm macOS,” các nhà nghiên cứu của Mandiant cho biết.
Hậu Quả và Thiệt Hại
Nhà nghiên cứu của CertiK, Natalie Newson, đã liên kết làn sóng “Mach-O Man” mới nhất với một đợt tấn công rộng lớn hơn của Lazarus, đã siphon hơn 500 triệu đô la từ các nền tảng DeFi như Drift và KelpDAO chỉ trong hơn hai tuần. Trong những sự cố đó, Lazarus được cho là đã kết hợp kỹ thuật xã hội chống lại một công ty giao dịch với một lỗ hổng cross-chain tinh vi, cho phép kẻ tấn công đúc khoảng 116,500 rsETH và rút khoảng 292 triệu đô la giá trị.
LayerZero, đơn vị cung cấp cơ sở hạ tầng cầu được KelpDAO sử dụng, cho biết Nhóm Lazarus của Triều Tiên là “diễn viên có khả năng” đứng sau lỗ hổng rsETH và đổ lỗi cho thiết kế xác minh điểm đơn lẻ đã cho phép thông điệp cross-chain giả mạo.
“Lazarus đã nhắm mục tiêu vào hệ sinh thái tiền điện tử trong nhiều năm, đánh cắp khoảng 2 tỷ đô la tài sản ảo trong năm 2023 và 2024,” tạp chí bảo mật SecurityWeek báo cáo, trích dẫn các chiến dịch trước đó được hỗ trợ bởi ClickFix.
Kết Luận
Với DeFi đã phải chịu đựng những gì các tổ chức nghiên cứu gọi là tháng tồi tệ nhất trong lịch sử về các vụ hack, các thị trường hiện đang định giá một cuộc tấn công khác trị giá hơn 100 triệu đô la trong năm nay, nhấn mạnh cách mà các kẻ tấn công liên kết với nhà nước như Lazarus đã trở thành một rủi ro hệ thống đối với tiền điện tử.
