Chính quyền Nhật Bản và Hoa Kỳ trước đây đã quy kết vụ trộm tiền điện tử trị giá 308 triệu đô la từ công ty tiền điện tử DMM Bitcoin vào tháng 5 năm 2024 cho các tin tặc Triều Tiên.
"Vụ trộm có liên quan đến hoạt động đe dọa của TraderTraitor, còn được gọi là Jade Sleet, UNC4899 và Slow Pisces. Hoạt động của TraderTraitor thường đặc trưng bởi kỹ thuật xã hội có mục tiêu nhắm vào nhiều nhân viên của một công ty cùng một lúc", các cơ quan cho biết.
Cảnh báo này được Cục Điều tra Liên bang Hoa Kỳ (FBI), Trung tâm Tội phạm Mạng của Bộ Quốc phòng và Cơ quan Cảnh sát Quốc gia Nhật Bản cung cấp. Cần lưu ý rằng DMM Bitcoin đã ngừng hoạt động vào đầu tháng này sau vụ tấn công.
TraderTraitor là cụm hoạt động đe dọa dai dẳng có liên quan đến Triều Tiên, có tiền sử nhắm mục tiêu vào các công ty trong lĩnh vực Web3, dụ nạn nhân tải xuống các ứng dụng tiền điện tử có chứa phần mềm độc hại và cuối cùng tạo điều kiện cho hành vi trộm cắp. Nhóm này được biết là đã hoạt động ít nhất từ năm 2020.
Trong những năm gần đây, nhóm tin tặc đã dàn dựng một loạt các cuộc tấn công lợi dụng các chiến dịch kỹ thuật xã hội theo chủ đề công việc hoặc tiếp cận các mục tiêu tiềm năng với lý do hợp tác trong một dự án GitHub, sau đó dẫn đến việc triển khai các gói npm độc hại.
Tuy nhiên, nhóm này có lẽ được biết đến nhiều nhất vì đã xâm nhập và truy cập trái phép vào hệ thống của JumpCloud để nhắm vào một nhóm nhỏ khách hàng hạ nguồn vào năm ngoái.
Chuỗi tấn công được FBI ghi nhận không có gì khác biệt ở chỗ kẻ tấn công đã liên hệ với một nhân viên tại một công ty phần mềm ví tiền điện tử có trụ sở tại Nhật Bản vào tháng 3 năm 2024, đóng giả làm người tuyển dụng và gửi cho họ một URL đến một tập lệnh Python độc hại được lưu trữ trên GitHub như một phần của bài kiểm tra trước khi tuyển dụng. Nạn nhân, người có quyền truy cập vào hệ thống quản lý ví của Ginco, sau đó đã bị xâm phạm sau khi họ sao chép mã Python vào trang GitHub cá nhân của mình. Sau đó, kẻ tấn công chuyển sang giai đoạn tấn công tiếp theo vào giữa tháng 5 năm 2024.
Tiết lộ này được đưa ra ngay sau khi Chainalysis cho rằng vụ hack DMM Bitcoin là do các tác nhân đe dọa từ Triều Tiên gây ra, nêu rõ những kẻ tấn công nhắm vào các lỗ hổng trong cơ sở hạ tầng để thực hiện rút tiền trái phép.
Công ty tình báo blockchain cho biết : "Kẻ tấn công đã chuyển hàng triệu đô la tiền điện tử từ DMM Bitcoin đến một số địa chỉ trung gian trước khi đến Bitcoin CoinJoin Mixing Service. Sau khi số tiền bị đánh cắp bằng Bitcoin CoinJoin Mixing Service thành công, những kẻ tấn công đã chuyển một phần tiền thông qua một số dịch vụ chuyển tiếp và cuối cùng là đến HuiOne Guarantee, một thị trường trực tuyến liên kết với tập đoàn HuiOne Group của Campuchia”.
Sự phát triển này cũng diễn ra khi Trung tâm Tình báo An ninh AhnLab (ASEC) tiết lộ rằng nhóm tin tặc Triều Tiên có mật danh Andariel, một nhóm nhỏ trong Nhóm Lazarus, đang triển khai cửa hậu SmallTiger như một phần của các cuộc tấn công nhắm vào các giải pháp quản lý tài sản và tập trung tài liệu của Hàn Quốc.
Nguồn: thehackernews.com
Tín nhiệm mạng | Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.
Tín nhiệm mạng | Thông tin chi tiết về lỗ hổng bảo mật hiện đã được vá trong iOS và macOS của Apple đã xuất hiện, nếu khai thác thành công, có thể vượt qua khuôn khổ hệ thống quản lý quyền riêng tư Transparency, Consent, and Control (TCC) và dẫn đến truy cập trái phép vào thông tin nhạy cảm.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản mới của phần mềm độc hại ZLoader sử dụng đường hầm Hệ thống tên miền (DNS) để liên lạc chỉ huy và kiểm soát (C2), cho thấy kẻ tấn công đang tiếp tục cải tiến công cụ này sau khi xuất hiện trở lại vào một năm trước.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch lừa đảo qua thiết bị di động (hay còn gọi là mishing ) tinh vi được thiết kế để phát tán phiên bản cập nhật của Antidot Banking trojan.
Tín nhiệm mạng | Vào ngày 6 tháng 12 năm 2024, tòa án hiến pháp Romania (CCR) đã hủy bỏ cuộc bầu cử tổng thống dựa trên thông tin cho thấy vòng bầu cử đầu tiên bị ảnh hưởng bởi chiến dịch của TikTok có liên quan đến Nga.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
