Nhóm hacker Triều Tiên đã sử dụng chương trình backdoor NimDoor trên macOS để tấn công các công ty tiền điện tử qua hình thức giả mạo cập nhật Zoom.
NimDoor hoạt động qua việc phát tán gói cập nhật giả mạo, đánh cắp dữ liệu từ trình duyệt, Telegram và ví tiền điện tử được mã hóa, đồng thời né tránh các hệ thống bảo mật của Apple.
- Hacker Triều Tiên tấn công qua backdoor NimDoor ngụy trang dưới dạng bản cập nhật giả của Zoom trên macOS.
- Phần mềm độc hại này đánh cắp mật khẩu trình duyệt, dữ liệu Telegram và ví tiền điện tử mã hóa.
- Chuyên gia khuyến cáo chặn gói cài đặt chưa ký và tải cập nhật chỉ từ tên miền chính thức zoom.us.
Nhóm hacker Triều Tiên đã sử dụng NimDoor tấn công tiền điện tử như thế nào?
SentinelLabs, công ty an ninh mạng hàng đầu, vừa phát hiện nhóm hacker Triều Tiên triển khai backdoor NimDoor trên macOS nhằm tấn công các doanh nghiệp ngành tiền điện tử. Thủ đoạn tinh vi khai thác tâm lý bằng cách mạo danh bản cập nhật Zoom để lây lan phần mềm độc hại.
Trước hết, hacker tiếp cận nạn nhân qua Telegram, thiết lập cuộc hẹn bằng ứng dụng Calendly và kích thích người dùng tải xuống gói cập nhật giả mạo chứa NimDoor. Một khi phần mềm được cài đặt, malware sẽ tạo tự động mục đăng nhập nhằm duy trì hoạt động liên tục và tải các module tấn công bổ sung.
“NimDoor là một ví dụ điển hình về phần mềm độc hại sử dụng ngôn ngữ lập trình ít phổ biến Nim, giúp nó dễ dàng vượt qua hệ thống phát hiện bảo mật của Apple.”
Phát biểu của chuyên gia SentinelLabs, tháng 7 năm 2024
NimDoor có những đặc điểm kỹ thuật nào giúp nó nguy hiểm cho các công ty tiền điện tử?
Được viết bằng ngôn ngữ Nim ít phổ biến, NimDoor có khả năng tránh được phần lớn bộ lọc bảo mật trên macOS vốn ưu tiên phát hiện các phần mềm độc hại phổ biến. Malware này đánh cắp dữ liệu quan trọng như mật khẩu lưu trong trình duyệt, dữ liệu Telegram và các tệp ví tiền điện tử đã mã hóa, làm tăng nguy cơ thất thoát tài sản số.
Hơn nữa, việc nó khởi chạy cùng hệ thống qua mục đăng nhập tự động giúp duy trì quyền kiểm soát thiết bị của nạn nhân mà không dễ bị phát hiện. Đây là điểm nổi bật về kỹ thuật mà các tổ chức an ninh mạng cảnh báo.
Các biện pháp phòng ngừa chống lại NimDoor dành cho công ty tiền điện tử là gì?
Các chuyên gia đề xuất ba giải pháp chủ đạo để giảm thiểu rủi ro từ NimDoor. Thứ nhất, cấm hoàn toàn việc cài đặt các gói phần mềm không có chữ ký điện tử để tránh cài đặt phần mềm độc hại. thứ 2, chỉ nên tải bản cập nhật Zoom từ trang chính thức zoom.us để tránh nhầm phải gói cập nhật giả mạo.
Cuối cùng, nên kiểm tra kỹ danh sách liên hệ trên Telegram, đặc biệt các tài khoản lạ để phát hiện sớm hành vi khả nghi và ngăn chặn tiếp xúc với hacker.
“Bảo vệ các công ty tiền điện tử trước các chiến thuật tấn công phi truyền thống như giả mạo cập nhật là ưu tiên hàng đầu mà chúng tôi đang thực hiện.”
CEO công ty an ninh mạng SentinelLabs, tháng 7 năm 2024
Ví dụ về phát hiện và hậu quả của NimDoor trong ngành tiền điện tử
Vào đầu tháng 7 năm 2024, SentinelLabs phát hiện NimDoor khi nghiên cứu chuỗi tấn công vào công ty tiền điện tử tại Bắc Hoa Kỳ. Hậu quả là một nhóm nhân viên bị đánh cắp hàng trăm tệp đăng nhập ví lạnh được mã hóa, tạo rủi ro mất tài sản kỹ thuật số với giá trị ước tính hàng trăm nghìn USD.
Sự kiện này một lần nữa khẳng định tính cấp thiết của việc nâng cao cảnh giác và trang bị hệ thống bảo mật chuyên sâu dành riêng cho các tổ chức tài chính tiền điện tử.
Các lưu ý về đặc điểm ngôn ngữ lập trình Nim trong phát triển malware
Nim là ngôn ngữ lập trình ít được sử dụng trong lĩnh vực bảo mật, tạo thuận lợi cho hacker viết phần mềm độc hại khó bị phát hiện. Thay vì dùng các ngôn ngữ như C hay Python, NimDoor tận dụng sự mới lạ này để vượt qua cơ chế phát hiện của macOS kể cả khi hệ điều hành này rất chú trọng bảo mật.
| Tiêu chí | Phần mềm độc hại NimDoor | Phần mềm độc hại macOS thông thường |
|---|---|---|
| Ngôn ngữ lập trình | Nim (ít phổ biến) | Python, C, Objective-C |
| Kỹ thuật né tránh bảo mật | Chạy ngầm qua mục đăng nhập, mã hóa tinh vi | Dễ bị phát hiện qua chữ ký số và heuristics |
| Phương thức lây lan | Giả mạo bản cập nhật Zoom qua Telegram | File đính kèm email, tải từ website không an toàn |
| Dữ liệu đánh cắp | Mật khẩu trình duyệt, Telegram, ví tiền điện tử mã hóa | Thông tin đăng nhập, keylogger |
Những câu hỏi thường gặp
- NimDoor là gì và nó ảnh hưởng thế nào đến công ty tiền điện tử?
- NimDoor là phần mềm backdoor trên macOS do hacker Triều Tiên phát triển, đánh cắp dữ liệu quan trọng như mật khẩu và ví tiền điện tử, gây nguy hiểm nghiêm trọng cho doanh nghiệp.
- Phương thức lây lan của NimDoor là gì?
- NimDoor được phát tán qua gói cập nhật Zoom giả mạo do hacker gửi qua Telegram, kết hợp mời gọi qua lịch hẹn Calendly để tăng độ tin tưởng.
- Các công ty tiền điện tử cần làm gì để phòng tránh NimDoor?
- Khuyến nghị hạn chế cài đặt phần mềm chưa ký, tải cập nhật chỉ từ zoom.us và giám sát kỹ danh sách liên hệ Telegram để phát hiện đối tượng khả nghi.
- Tại sao NimDoor khó bị phát hiện trên macOS?
- Phần mềm này sử dụng ngôn ngữ Nim hiếm, giúp tránh né được phân tích bảo mật truyền thống và tự động chạy ngầm qua mục đăng nhập hệ thống.
- Những tổn thất tiềm năng khi bị NimDoor tấn công?
- Có thể mất kiểm soát ví tiền điện tử được mã hóa, bị đánh cắp mật khẩu và dữ liệu Telegram, dẫn đến rủi ro tài sản kỹ thuật số lớn cho doanh nghiệp.
