Tin tặc Triều Tiên sử dụng backdoor AkdoorTea mới để nhắm mục tiêu vào các nhà phát triển tiền điện tử toàn cầu

Các tác nhân đe dọa liên quan đến Triều Tiên, có liên quan đến chiến dịch Contagious Interview, đã bị quy kết sử dụng một backdoor chưa từng được ghi nhận trước đây có tên AkdoorTea, cùng với các công cụ như TsunamiKit và Tropidoor.

Công ty an ninh mạng ESET của Slovakia, đơn vị đang theo dõi hoạt động này dưới tên DeceptiveDevelopment, cho biết chiến dịch nhắm mục tiêu vào các nhà phát triển phần mềm trên tất cả các hệ điều hành, Windows, Linux và macOS, đặc biệt là những người tham gia vào các dự án tiền điện tử và Web3. Nó còn được gọi là DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan, UNC5342 và Void Dokkaebi.

"Bộ công cụ của DeceptiveDevelopment chủ yếu là đa nền tảng và bao gồm các script độc hại ban đầu bị làm rối mã trong Python và JavaScript, các backdoor cơ bản trong Python và Go, và một dự án dark web bằng .NET," các nhà nghiên cứu Peter Kálnai và Matěj Havránek cho biết trong một báo cáo được chia sẻ với The Hacker News.

Chiến dịch này về cơ bản liên quan đến những kẻ tuyển dụng giả mạo đưa ra các vai trò công việc có vẻ béo bở trên các nền tảng như LinkedIn, Upwork, Freelancer và Crypto Jobs List. Sau khi tiếp cận ban đầu, nếu mục tiêu tiềm năng bày tỏ sự quan tâm đến cơ hội, họ sẽ được yêu cầu hoàn thành một bài đánh giá video bằng cách nhấp vào một liên kết hoặc một bài tập mã hóa.

Bài tập lập trình yêu cầu họ clone các dự án được lưu trữ trên GitHub, những dự án này sẽ âm thầm cài đặt malware. Mặt khác, các trang web được thiết lập rõ ràng để thực hiện bài đánh giá video giả mạo hiển thị các lỗi không tồn tại liên quan đến việc truy cập camera hoặc micro bị chặn, và thúc giục họ làm theo hướng dẫn theo kiểu ClickFix để khắc phục sự cố bằng cách khởi chạy dấu nhắc lệnh (command prompt) hoặc ứng dụng Terminal, tùy thuộc vào hệ điều hành được sử dụng.

Bất kể phương pháp nào được sử dụng, các cuộc tấn công nói chung đã được tìm thấy là phân phối một số loại malware như BeaverTail, InvisibleFerret, OtterCookie, GolangGhost (hay còn gọi là FlexibleFerret hoặc WeaselStore), và PylangGhost.

"Chức năng của WeaselStore khá giống với cả BeaverTail và InvisibleFerret, với trọng tâm chính là đánh cắp dữ liệu nhạy cảm từ các trình duyệt và ví tiền điện tử," ESET cho biết. "Sau khi dữ liệu đã được đánh cắp, WeaselStore, không giống như các infostealer truyền thống, tiếp tục liên lạc với máy chủ C&C [command-and-control] của nó, hoạt động như một RAT có khả năng thực thi nhiều lệnh khác nhau."

Cũng được triển khai như một phần của các chuỗi lây nhiễm này là TsunamiKit, PostNapTea và Tropidoor, trong đó công cụ đầu tiên là một bộ công cụ malware được phân phối bởi InvisibleFerret và được thiết kế để đánh cắp thông tin và tiền điện tử. Việc sử dụng TsunamiKit lần đầu tiên được phát hiện vào tháng 11 năm 2024.

Bộ công cụ này bao gồm nhiều thành phần, điểm khởi đầu là giai đoạn ban đầu TsunamiLoader kích hoạt việc thực thi một injector (TsunamiInjector), đến lượt nó sẽ thả TsunamiInstaller và TsunamiHardener.

Trong khi TsunamiInstaller hoạt động như một dropper cho TsunamiClientInstaller, sau đó tải xuống và thực thi TsunamiClient, thì TsunamiHardener chịu trách nhiệm thiết lập tính bền vững cho TsunamiClient, cũng như cấu hình các ngoại lệ của Microsoft Defender. TsunamiClient là module cốt lõi kết hợp một spyware .NET và thả các công cụ khai thác tiền điện tử như XMRig và NBMiner.

Người ta tin rằng TsunamiKit có thể là một sửa đổi của một dự án dark web hơn là một sáng tạo riêng của tác nhân đe dọa, vì các mẫu liên quan đến bộ công cụ này đã được phát hiện từ tháng 12 năm 2021, trước khi chiến dịch Contagious Interview bắt đầu, được cho là đã bắt đầu vào cuối năm 2022.

Phần mềm đánh cắp và tải xuống BeaverTail cũng đã được tìm thấy là phương tiện phân phối cho một malware khác có tên Tropidoor mà, theo ASEC, trùng lặp với một công cụ của Lazarus Group được gọi là LightlessCan. ESET cho biết họ tìm thấy bằng chứng về các tạo phẩm Tropidoor được tải lên VirusTotal từ Kenya, Colombia và Canada, đồng thời cho biết malware này cũng chia sẻ "phần lớn mã" với PostNapTea, một malware được tác nhân đe dọa sử dụng để chống lại các mục tiêu ở Hàn Quốc vào năm 2022.

PostNapTea hỗ trợ các lệnh để cập nhật cấu hình, thao tác tệp và chụp màn hình, quản lý hệ thống tệp, quản lý tiến trình và chạy các phiên bản tùy chỉnh của các lệnh Windows như whoami, netstat, tracert, lookup, ipconfig và systeminfo, cùng những lệnh khác, để cải thiện khả năng tàng hình – một tính năng cũng có trong LightlessCan.

"Tropidoor là payload tinh vi nhất được liên kết với nhóm DeceptiveDevelopment cho đến nay, có thể là do nó dựa trên malware được phát triển bởi các tác nhân đe dọa có kỹ thuật tiên tiến hơn thuộc Lazarus umbrella," ESET cho biết.

Execution chain of WeaselStore

Phần bổ sung mới nhất vào kho vũ khí của tác nhân đe dọa là một trojan truy cập từ xa (RAT) có tên AkdoorTea được phân phối thông qua một script batch của Windows. Script này tải xuống một tệp ZIP ("nvidiaRelease.zip") và thực thi một Visual Basic Script có trong đó, sau đó tiến hành khởi chạy các payload BeaverTail và AkdoorTea cũng có trong kho lưu trữ.

Điều đáng chú ý là chiến dịch đã tận dụng các bản cập nhật driver theo chủ đề NVIDIA trong quá khứ như một phần của các cuộc tấn công ClickFix để giải quyết các vấn đề được cho là liên quan đến camera hoặc micro khi thực hiện các bài đánh giá video, cho thấy phương pháp này đang được sử dụng để phát tán AkdoorTea.

AkdoorTea có tên gọi như vậy vì nó có những điểm chung với Akdoor, được mô tả là một biến thể của NukeSped (hay còn gọi là Manuscrypt) implant – càng củng cố thêm mối liên hệ của Contagious Interview với nhóm Lazarus Group lớn hơn.

"Các TTP của DeceptiveDevelopment minh họa một mô hình hoạt động phân tán hơn, theo hướng số lượng lớn. Mặc dù thường thiếu sự tinh vi về mặt kỹ thuật, nhóm này bù đắp bằng quy mô và kỹ thuật social engineering sáng tạo," ESET cho biết.

"Các chiến dịch của nhóm thể hiện một cách tiếp cận thực dụng, khai thác các công cụ mã nguồn mở, tái sử dụng các dự án dark web có sẵn, điều chỉnh malware có thể được thuê từ các nhóm khác liên kết với Triều Tiên, và lợi dụng các lỗ hổng của con người thông qua các lời mời làm việc giả mạo và nền tảng phỏng vấn."

Contagious Interview không hoạt động đơn lẻ, vì nó cũng được phát hiện có một mức độ trùng lặp nhất định với kế hoạch nhân viên IT giả mạo của Bình Nhưỡng (hay còn gọi là WageMole), với Zscaler lưu ý rằng thông tin tình báo thu thập được từ chiến dịch trước đây được các tác nhân Triều Tiên sử dụng để có được việc làm tại các công ty đó bằng cách sử dụng danh tính bị đánh cắp và tạo ra các nhân vật giả mạo. Mối đe dọa nhân viên IT được cho là đã diễn ra từ năm 2017.

Mối liên hệ giữa Contagious Interview và WageMole

Công ty an ninh mạng Trellix, trong một báo cáo được công bố tuần này, cho biết họ đã phát hiện một trường hợp gian lận tuyển dụng nhân viên IT Triều Tiên nhắm vào một công ty chăm sóc sức khỏe của Hoa Kỳ, nơi một cá nhân sử dụng tên "Kyle Lankford" đã ứng tuyển vào vị trí Kỹ sư Phần mềm Chính.

Mặc dù ứng viên không gây ra bất kỳ dấu hiệu đáng ngờ nào trong giai đoạn đầu của quá trình tuyển dụng, Trellix cho biết họ đã có thể đối chiếu địa chỉ email của họ với các chỉ số nhân viên IT Triều Tiên đã biết. Phân tích thêm các trao đổi email và kiểm tra lý lịch đã xác định ứng viên này có thể là một đặc vụ Triều Tiên, công ty này nói thêm.

"Các hoạt động của nhân viên IT Triều Tiên cấu thành một mối đe dọa hỗn hợp," ESET lưu ý. "Kế hoạch gian lận cho thuê này kết hợp các hoạt động tội phạm cổ điển, như đánh cắp danh tính và gian lận danh tính tổng hợp, với các công cụ kỹ thuật số, phân loại nó là cả tội phạm truyền thống và tội phạm mạng (hoặc e-crime)."