Được trang bị với các cuộc gọi Zoom giả mạo, danh tính bị đánh cắp và phần mềm độc hại, nhóm Lazarus của Triều Tiên được cho là đã mở rộng chiến lược xâm nhập tiền điện tử, và ngành công nghiệp đang bắt đầu cảm nhận được điều đó.
Kenny Li, đồng sáng lập dự án tầng 2 của Ethereum Manta Network, cho biết anh đã bị "nhắm mục tiêu" trong một nỗ lực lừa đảo Zoom tinh vi của nhóm Lazarus trong một tweet vào thứ Năm.
Một liên hệ quen thuộc của Li đã sắp xếp một cuộc gọi Zoom với những khuôn mặt quen thuộc xuất hiện trên camera, nhưng không ai nói gì. Sau đó, một lời nhắc xuất hiện thúc giục Li tải xuống một script để sửa âm thanh.
"Tôi có thể nhìn thấy những khuôn mặt hợp pháp của họ. Mọi thứ trông rất thực," anh viết vào thứ Năm. "Nhưng tôi không thể nghe họ... nó yêu cầu tôi tải xuống một tệp script. Tôi đã lập tức rời đi."
Để xác minh liên hệ, Li yêu cầu tiếp tục cuộc trò chuyện trên Google Meet. Người giả mạo từ chối, và ngay sau đó, tất cả các tin nhắn đã bị xóa, và Li bị chặn.
"Kỹ thuật xã hội của Lazarus đang trở nên khá tốt," anh thêm trong một tweet tiếp theo, cho biết thêm rằng nỗ lực lừa đảo có thể đã sử dụng deepfakes hoặc "các bản ghi từ các cuộc gọi trước đó nơi họ đã nhiễm/hack những người khác."
Li lưu ý rằng anh "không chắc chắn" nỗ lực lừa đảo là do nhóm Lazarus thực hiện, nhưng theo các nhà nghiên cứu an ninh, nó phù hợp với phương thức hoạt động của nhóm hacker này. Decrypt đã liên hệ với Li và sẽ cập nhật câu chuyện này nếu anh trả lời.
Sự cố này là một trong những vụ tấn công gần đây được quy cho Lazarus, đơn vị hacker do nhà nước Triều Tiên hậu thuẫn, chịu trách nhiệm cho một số vụ trộm tiền điện tử lớn nhất trong lịch sử.
Nhóm, đã được liên kết với vụ hack Bybit trị giá 1,4 tỷ đô la vào tháng Hai, được cho là đang thay đổi chiến lược bằng cách kết hợp video deepfake, phần mềm độc hại và kỹ thuật xã hội để lừa gạt ngay cả các giám đốc tiền điện tử có kinh nghiệm.
Theo nghiên cứu mới từ nhà nghiên cứu an ninh Paradigm Samczsun và Nhóm Tình báo Mối đe dọa của Google (GTIG), Lazarus chỉ là một nhánh trong bộ máy mạng không gian mạng rộng lớn của CHDCND Triều Tiên.
Chế độ này hiện triển khai một mạng lưới các nhóm hacker phụ như AppleJeus, APT38 và TraderTraitor, sử dụng các chiến thuật từ các đề nghị việc làm giả và cuộc gọi Zoom đến các gói npm chứa phần mềm độc hại và tống tiền.
Nick Bax của Liên minh An ninh (SEAL), một tập thể các hacker mũ trắng và nhà nghiên cứu an ninh, đã đưa ra cảnh báo vào tháng Ba, "Gặp vấn đề âm thanh trong cuộc gọi Zoom của bạn? Đó không phải là một nhà đầu tư mạo hiểm, đó là các hacker Triều Tiên."
Anh mô tả kịch bản trong đó các tin nhắn trò chuyện viện dẫn các vấn đề âm thanh, những khuôn mặt quen thuộc xuất hiện trên video, và nạn nhân bị chuyển hướng để tải xuống phần mềm độc hại. "Họ khai thác tâm lý con người," anh viết. "Một khi bạn cài đặt bản vá, bạn sẽ bị hủy diệt."
Giulio Xiloyannis, đồng sáng lập nền tảng Web3 cho các trò chơi và IP on-chain MON Protocol, đã chia sẻ một trải nghiệm tương tự. Một hacker giả mạo một nhà lãnh đạo dự án đã yêu cầu anh chuyển sang một liên kết Zoom giữa cuộc gọi.
"Ngay khi tôi nhìn thấy một đối tác Gumicryptos đang nói và một người của Superstate, tôi nhận ra có điều gì đó không ổn," anh tweet, chia sẻ ảnh chụp màn hình để cảnh báo người khác.
Theo một báo cáo gần đây của GTIG, các nhân viên CNTT Triều Tiên hiện đang xâm nhập các nhóm trên khắp Hoa Kỳ, Vương quốc Anh, Đức và Serbia, giả danh là nhà phát triển, sử dụng sơ yếu lý lịch giả và giấy tờ giả mạo.
"Các hacker CHDCND Triều Tiên là một mối đe dọa ngày càng gia tăng đối với ngành của chúng tôi," Samczsun viết, kêu gọi các công ty áp dụng các biện pháp phòng thủ cơ bản, truy cập với đặc quyền tối thiểu, xác thực hai yếu tố, phân tách thiết bị, và liên hệ với các nhóm như SEAL 911 trong trường hợp bị xâm phạm.
