Lừa đảo & Tin tặc

Những điểm chính

• Nhóm Lazarus là một nhóm hacker được hậu thuẫn bởi nhà nước Triều Tiên, chịu trách nhiệm về các vụ đánh cắp mạng lưới trị giá tỷ đô la. Các hoạt động của họ tài trợ cho chương trình tên lửa và hạt nhân của đất nước.
• Lazarus sử dụng phần mềm độc hại tùy chỉnh, lỗ hổng zero-day và chiến dịch spear-phishing để xâm nhập vào các tổ chức tài chính, sàn giao dịch tiền điện tử và cơ quan chính phủ.
• Các vụ tấn công đáng chú ý bao gồm vụ hack $1.5 tỷ của Bybit (2025), vụ xâm nhập Ronin Bridge trị giá $625 triệu (2022) và vụ cướp $101 triệu của Ngân hàng Bangladesh (2016).
• Nhóm sử dụng sự ném đá, cửa sau, kỹ thuật chống pháp lý và wipers để che giấu dấu vết của họ và duy trì quyền truy cập dài hạn vào các mạng bị vi phạm.

Vụ tấn công crypto của Bybit vào ngày 21 tháng 2 năm 2025, đã một lần nữa đưa ánh sáng vào nhóm Lazarus đáng gờm, được “ghi nhận” với một chuỗi các vụ tấn công tàn phá vào các doanh nghiệp crypto. Kể từ năm 2017, nhóm Lazarus đã đánh cắp khoảng 6 tỷ đô la từ ngành công nghiệp crypto,theođến công ty phân tích blockchain Elliptic. Không ngạc nhiên khi Lazarus đã giành được danh hiệu siêu ác nhân trong tiền điện tử.

Là một trong những tổ chức tội phạm mạng sôi động nhất trong lịch sử, nhóm Lazarus sử dụngkỹ thuật hack tiên tiến và thường là các nhân viên cấp dưới cấp trên trong môi trường văn phòng, cho thấy sự hỗ trợ đầy đủ từ nhà nước.

Điều này đặt ra các câu hỏi quan trọng về nhóm Lazarus, cách họ thực hiện cuộc tấn công phức tạp vào Bybit và những vụ hack tương tự khác, cũng như cách các tổ chức tiền điện tử có thể chống lại mối đe dọa này ngày càng tăng. Bài viết này khám phá những vấn đề này và nhiều hơn nữa.

Origins and background of the Lazarus Group

Nhóm Lazarus là một nhóm đe dọa có trụ sở tại Cộng hòa Dân chủ Nhân dân Triều Tiên (CHDCND Triều Tiên) hoặc Bắc Triều Tiên nổi tiếng về gián điệp mạng và rút tiền.

Hoạt động từ năm 2009, nó liên quan đến Cục Tình báo Trinh sát Chính phủ Triều Tiên (RGB), cơ quan tình báo chính thức của quốc gia. Nhóm mối đe dọa kiên trì tiên tiến (APT) nổi tiếng với việc tiến hành các cuộc tấn công phức tạp trên nhiều nền tảng vào các tổ chức tài chính,sàn giao dịch tiền điện tử, các điểm cuối hệ thống SWIFT, sòng bạc và máy ATM trên toàn thế giới.

Mối quan hệ của nhóm với cơ quan tình báo quốc gia cho thấy sự tài trợ từ phía nhà nước. Các hacker nhận sự bảo trợ từ phía nhà nước cho các hoạt động ác ý của họ, điều đó có nghĩa là họ có thể hoạt động mà không sợ cơ quan chức năng địa phương. Các hoạt động của họ không chỉ nhằm mục đích thu thập thông tin tình báo mà còn để sắp xếp quỹ cho chương trình tên lửa và hạt nhân của đất nước.

Cơ quan Điều tra Liên bang Mỹ (FBI) gọi nhóm Lazarus là một ‘tổ chức tấn công mạng do chính phủ Bắc Triều Tiên tài trợ.’ Người đào tẩu Bắc Triều Tiên Kim Kuk-song đã tiết lộ rằng đơn vị này được biết đến nội bộ là Văn phòng Liên lạc 414 tại Bắc Triều Tiên.

Trong nhiều năm qua, Nhóm Lazarus đã tăng đáng kể sự tinh vi và hiệu quả của các chiến thuật, cũng như quy mô hoạt động của họ.

Bạn có biết không? Microsoft Threat Intelligence đã xác định một nhóm hacker được biết đến với tên gọi “Sapphire Sleet” là một nhóm đe dọa từ Triều Tiên mạnh mẽ tham gia vào việc ăn cắp tiền điện tử và xâm nhập doanh nghiệp. Thuật ngữ “sleet” cho thấy mối liên kết của nhóm với Triều Tiên.

Nhóm Lazarus hoạt động như thế nào?

Doanh nghiệp Lazarus có nguồn lực và chuyên môn nhờ sự tài trợ của nhà nước,thực hiện các cuộc tấn công mạng phức tạpNó thực hiện các hoạt động đa tầng, bao gồm việc phát triển và triển khai phần mềm độc hại tùy chỉnh và khai thác lỗ hổng zero-day. Thuật ngữ “lỗ hổng zero-day” đề cập đến một lỗ hổng bảo mật trong phần mềm hoặc phần cứng mà không được nhà phát triển biết đến. Điều này có nghĩa là không có bất kỳ biện pháp khắc phục nào cũng như sự chuẩn bị nào cho nó.

Một đặc điểm nổi bật của Nhóm Lazarus là việc tạo ra phần mềm độc đáo như MagicRAT và QuiteRAT, được thiết kế để xâm nhập và kiểm soát các hệ thống được mục tiêu. Họ cũng đã được biết đến với việc tận dụng nhược điểm bảo mật trước đó để xâm nhập vào các hệ thống trước khi các bản vá sẵn có.

Kỹ thuật xã hội là một thành phần quan trọng khác của chiến lược của họ. Đó là về các hacker sử dụng cảm xúc để lừa dối người dùng và thuyết phục họ thực hiện một hành động cụ thể, chẳng hạn như chia sẻ dữ liệu quan trọng. Nhóm Lazarus tiến hành spear-chiến dịch lừa đảo, gửi email gian lận cho những người không nghi ngờ giả mạo mạng của họ để thuyết phục họ tiết lộ thông tin bí mật.

Của họkhả năng thích ứng và các kỹ thuật tiến triểnBiến nhóm Lazarus thành một mối đe dọa dai dẳng và đáng gờm trong cảnh quan an ninh mạng toàn cầu.

Các vụ cướp hàng đầu của Nhóm Lazarus

Trong nhiều năm qua, đã có một loạt các cuộc tấn công mạng liên quan đến Nhóm Lazarus. Dưới đây là một số vụ cướp lớn đáng chú ý được thực hiện bởi nhóm:

Vụ án mất cắp tiền điện tử

1. Bybit (Tháng 2 năm 2025)

Bybit, một sàn giao dịch tiền điện tử có trụ sở tại Dubai,sự kiện mất an ninh lớn đã xảy ra, losing $1.5 tỷ USD trong tài sản kỹ thuật số vào tháng 2 năm 2025, khiến nó trở thành vụ ăn cắp tiền điện tử quan trọng nhất cho đến nay.

Cuộc tấn công nhắm vào giao diện SafeWallet được sử dụng bởi các nhà điều hành Bybit để thực hiện các giao dịch gian lận. Số tiền bị đánh cắp, chủ yếu là trong Ether, đã nhanh chóng được phân tán qua nhiều ví khác nhau vàbị thanh lý thông qua các nền tảng khác nhau. Giám đốc điều hành Bybit, Ben Zhou, đã cam đoan rằng các ví lạnh khác vẫn an toàn và việc rút tiền hoạt động bình thường.

Công ty phân tích Blockchain, bao gồm Elliptic và Arkham Intelligence, đã theo dõi tài sản bị đánh cắp và sau đó gán cho cuộc tấn công là của nhóm Lazarus do chính phủ Triều Tiên hậu thuẫn. Sự vi phạm này đã gây ra một làn sóng rút tiền từ Bybit, buộc sàn giao dịch phải an toàn một khoản vay cầu để bù đắp thiệt hại.

2. WazirX (Tháng 7 năm 2024)

Vào tháng 7 năm 2024, WazirX, sàn giao dịch tiền điện tử lớn nhất ở Ấn Độ, đã trải qua một cuộc tấn công bảo mật đáng kể dẫn đến việc mất khoảng 234,9 triệu đô la Mỹ trong tài sản kỹ thuật số. Cuộc tấn công, được cho là do Nhóm Lazarus của Bắc Triều Tiên thực hiện, liên quan đến các kỹ thuật lừa đảo tinh vi và khai thác API.

Những hacker đã thao tác hệ thống ví đa chữ ký của WazirX, lấy trái phép truy cập vào cả ví nóng và ví lạnh. Sự xâm nhập này dẫn đến việc đình chỉ hoạt động giao dịch và đưa ra thách thức pháp lý, bao gồm một vụ kiện từ sàn giao dịch đối thủ CoinSwitch yêu cầu hoàn lại 9,65 triệu USD bị kẹt.

Vào tháng 1 năm 2025, Tòa án Cấp cao Singapore đã chấp thuận kế hoạch tái cấu trúc của WazirX, cho phép công ty gặp gỡ các chủ nợ để thảo luận về chiến lược phục hồi tài sản.

3. Stake.com (Tháng Chín 2023)

Vào tháng 9 năm 2023, nhóm đã xâm nhập vào Stake.com, một nền tảng cờ bạc tiền điện tử, bằng cách lấy và sử dụng thông tin đã bị đánh cắpkhóa riêng tưĐiều này cho phép họ rút ra được $41 triệu trên các mạng blockchain khác nhau.

Cục điều tra liên bang Mỹgán chovụ đánh cắp này đến Nhóm Lazarus, còn được biết đến với tên APT38. Tài sản bị đánh cắp được truy vết qua nhiều mạng blockchain, bao gồm Ethereum, BNB Smart Chain và Polygon.

4. CoinEx (Tháng Chín 2023)

Vào cuối tháng Chín năm 2023, CoinEx, một sàn giao dịch tiền điện tử toàn cầu, thông báo về các giao dịch không được ủy quyền dẫn đến tổn thất ước tính khoảng 54 triệu đô la.

Các cuộc điều tra của các nhà phân tích blockchain, bao gồm nhà phân tích onchain ZachXBT,tiết lộ mẫu ví và hành vi trên chuỗiliên kết vụ vi phạm này với vụ hack trước đó của Stake.com, ngụ ý một nỗ lực phối hợp từ Nhóm Lazarus.

5. CoinsPaid và Alphapo (tháng 7 năm 2023)

Vào ngày 22 tháng 7 năm 2023, CoinsPaid đã trải qua một cuộc tấn công mạng được lên kế hoạch tỉ mỉ dẫn đến việc mất cắp 37,3 triệu đô la. Các kẻ tấn công đã sử dụng một chiến lược liên quan đến hối lộ và các chiến dịch tuyển dụng giả mạo nhắm vào nhân sự quan trọng của công ty trong những tháng dẫn đến việc xâm nhập.

Trong quá trình tấn công, đã quan sát thấy một sự tăng đột ngột không bình thường trong hoạt động mạng, với hơn 150.000 địa chỉ IP khác nhau tham gia. Mặc dù gặp thiệt hại tài chính đáng kể, nhóm nội bộ của CoinsPaid đã làm việc chăm chỉ để củng cố hệ thống của họ, đảm bảo rằng quỹ của khách hàng vẫn không bị ảnh hưởng và hoàn toàn có sẵn.

Cùng ngày, Alphapo, một nhà cung cấp thanh toán tiền điện tử tập trung cho các nền tảng trực tuyến khác nhau, đã trải qua một vụ vi phạm bảo mật vào ngày 23 tháng 7 năm 2023. Các báo cáo ban đầu ước tính tổn thất khoảng 23 triệu đô la; tuy nhiên, các cuộc điều tra tiếp theo cho thấy tổng số tiền bị lấy cắp vượt quá 60 triệu đô la. Các nhà phân tích blockchain đã cho rằng cuộc tấn công này có liên quan đến Nhóm Lazarus, ghi chú rằng các quỹ bị lấy cắp đã được truy tìm qua nhiều địa chỉ và chuỗi.

6. Cầu Chân Trời Hài Hòa (Tháng Sáu 2022)

Nhóm Lazarus đã khai thác các lỗ hổng trong Cầu Horizon của Harmony vào tháng 6 năm 2022. Thông qua kỹ thuật xã hội và việc chiếm đoạt ví đa chữ ký, họ đã lấy cắp 100 triệu đô la, nổi bật nhấn mạnh rủi ro liên quan đến các cầu kết nối chuỗi (hỗ trợ việc chuyển tài sản giữa các mạng như Ethereum, Bitcoin và BNB Smart Chain).

Kẻ tấn công đã lợi dụng các điểm yếu về bảo mật, kiểm soát một ví đa chữ ký được sử dụng để ủy quyền giao dịch. Sự vi phạm này cho phép họ rút ra khoảng 100 triệu đô la trong các loại tiền điện tử khác nhau. Tài sản bị đánh cắp đã được rửa qua máy trộn Tornado Cash, làm phức tạp các nỗ lực theo dõi. Elliptic là một trong những đơn vị đầu tiên gán cho cuộc tấn công này là của Nhóm Lazarus, một đánh giá sau này được FBI xác nhận vào tháng 1 năm 2023.

7. Cầu Ronin (Tháng 3 năm 2022)

Vào tháng 3 năm 2022, Cầu Ronin, mộtcầu chuyển mạch hỗ trợ trò chơi Axie Infinity,trải qua một vụ vi phạm bảo mật đáng kểtại tay của Nhóm Lazarus, dẫn đến việc mất khoảng 625 triệu đô la trong tiền điện tử.

Mạng Ronin hoạt động với chín người xác thực, yêu cầu ít nhất năm chữ ký để ủy quyền giao dịch. Các kẻ tấn công đã thành công trong việc kiểm soát được năm khóa riêng, cho phép họ chấp thuận các rút tiền không được ủy quyền.

Những kẻ hack đã mời một nhân viên của Sky Mavis với một đề xuất việc làm giả mạo, gửi một tệp PDF bị nhiễm malware làm ảnh hưởng đến hệ thống nội bộ của công ty. Việc truy cập này cho phép các kẻ tấn công di chuyển theo chiều ngang trong mạng, chiếm quyền kiểm soát bốn trình xác minh được vận hành bởi Sky Mavis và một trình xác minh bổ sung được quản lý bởi AxieDAO (tổ chức tự trị phi tập trung).

Nhóm kết hợp kỹ năng kỹ thuật với kỹ năng xã hội để thực hiện cuộc tấn công hack Ronin Bridge.

8. Atomic Wallet (2022)

Trong suốt năm 2022, người dùng của Atomic Wallet, một ứng dụng lưu trữ tiền điện tử phi tập trung, đã trở thành nạn nhân của một loạt cuộc tấn công do Nhóm Lazarus tiến hành.

Những hacker triển khai phần mềm độc hại tùy chỉnh để xâm nhập vào các ví cá nhân, dẫn đến các mức thiệt hại ước lượng từ 35 triệu đến 100 triệu đô la. Elliptic liên kết những vụ vi phạm này với nhóm Lazarus bằng cách theo dõi sự di chuyển của các quỹ bị đánh cắp và xác định các mẫu rửa tiền phù hợp với các hoạt động trước đó của nhóm.

9. Sàn giao dịch Bithumb (tháng 7 năm 2017)

Vào tháng 7 năm 2017, Nhóm Lazarus thực hiện một cuộc tấn công lừa đảo bằng cần câu trên Bithumb, một trong những sàn giao dịch tiền điện tử lớn nhất của Hàn Quốc.

Bằng cách xâm nhập vào hệ thống nội bộ của sàn giao dịch, họ đã đánh cắp khoảng 7 triệu đô la trong tiền điện tử. Sự cố này đánh dấu một trong những cuộc xâm nhập sớm và đáng chú ý của nhóm vào ngành công nghiệp tài sản kỹ thuật số đang phát triển.

10. Sàn giao dịch Youbit (tháng 4 và tháng 12 năm 2017)

Nhóm Lazarus đã tiến hành hai cuộc tấn công quan trọng vào sàn giao dịch Youbit của Hàn Quốc vào năm 2017. Cuộc tấn công đầu tiên vào tháng 4 liên quan đến việc sử dụng phần mềm độc hại và kỹ thuật lừa đảo, đe dọa đến bảo mật của sàn giao dịch và dẫn đến mất mát tài sản đáng kể.

Một cuộc tấn công sau đó vào tháng 12 đã dẫn đến việc mất 17% tổng tài sản của Youbit. Sự căng thẳng tài chính từ những vụ vi phạm liên tiếp này đã đẩy sàn giao dịch vào tình trạng phá sản, nhấn mạnh tác động nghiêm trọng của các hoạt động mạng của nhóm đối với các nền tảng tài sản số.

Bạn có biết không? Bắc Triều Tiên triển khai hàng nghìn công nhân IT trên toàn cầu, bao gồm ở Nga và Trung Quốc, để tạo ra doanh thu. Họ sử dụng các hồ sơ được tạo bởi trí tuệ nhân tạo và danh tính bị đánh cắp để đảm bảo vị trí công nghệ sinh lợi, giúp họ đánh cắp tài sản trí tuệ, tống tiền các nhà tuyển dụng và chuyển tiền cho chế độ.

Các vụ cướp lớn khác

1. WannaCry (Tháng 5 năm 2017)

The WannaCryvụ tấn công ransomwarelà một vụ vi phạm an ninh mạng lớn đã ảnh hưởng đến các tổ chức trên toàn cầu. Vào ngày 12 tháng 5 năm 2017, loại mã độc ransomware WannaCry đã xâm nhập vào hơn 200.000 máy tính trên 150 quốc gia. Các nạn nhân chính bao gồm FedEx, Honda, Nissan và Dịch vụ Y tế Quốc gia (NHS) của Vương quốc Anh, đã phải chuyển hướng xe cứu thương do sự cố hệ thống.

Một nhà nghiên cứu an ninh phát hiện ra một “nút bấm tắt” tạm thời ngăn chặn cuộc tấn công. Nhưng nhiều hệ thống vẫn bị khóa cho đến khi nạn nhân trả tiền chuộc hoặc tìm cách khôi phục dữ liệu của họ. WannaCry đã lợi dụng một lỗ hổng gọi là “EternalBlue,” một lỗ hổng ban đầu được phát triển bởi Cơ quan An ninh Quốc gia Hoa Kỳ (NSA).

Lỗ hổng này sau đó đã bị đánh cắp và rò rỉ bởi Shadow Brokers. WannaCry chủ yếu nhắm vào các hệ thống Microsoft Windows cũ, chưa được vá lỗi, cho phép nó lan rộng nhanh chóng và gây ra thiệt hại lan rộng. Cuộc tấn công đã làm nổi bật nhu cầu cần thiết của việc cập nhật phần mềm định kỳ và nhận thức về bảo mật mạng.

2. Ngân hàng Bangladesh (Tháng 2 năm 2016)

Vào tháng 2 năm 2016, Ngân hàng Bangladesh trải qua một vụ cướp mạng lớn, với kẻ tấn công cố gắng lấy cắp gần 1 tỷ đô la từ tài khoản của mình tại Ngân hàng Dự trữ Liên bang New York. Những kẻ thực hiện, sau này được xác định là Nhóm Lazarus, xâm nhập vào hệ thống ngân hàng vào tháng 1 năm 2015 thông qua một tệp đính kèm độc hại. Họ nghiên cứu về hoạt động của ngân hàng, cuối cùng khởi động 35 yêu cầu chuyển tiền giả mạo qua mạng SWIFT.

Trong khi hầu hết bị chặn, có năm giao dịch tổng cộng $101 triệu đã thành công, với $81 triệu đến tài khoản tại Philippines. Một lỗi đánh máy trong một yêu cầu chuyển khoản đã khiến nghi ngờ tăng lên, ngăn chặn việc cướp toàn bộ.

3. Sony Pictures (Tháng 11 năm 2014)

Vào tháng 11 năm 2014, Sony Pictures Entertainment đã trải qua một cuộc tấn công mạng đáng kể do Guardians of Peace thực hiện, có liên kết với nhóm Lazarus. Các kẻ tấn công đã xâm nhập vào mạng lưới của Sony, tiếp cận một lượng lớn dữ liệu mật, bao gồm các bộ phim chưa phát hành, thông tin nhân viên nhạy cảm và các giao tiếp nội bộ.

Nhóm cũng triển khai phần mềm độc hại, làm cho khoảng 70% máy tính của Sony không thể vận hành được. Thiệt hại tài chính từ vụ vi phạm là đáng kể, với Sony báo cáo thiệt hại lên đến 15 triệu đô la, mặc dù các ước tính khác cho biết chi phí phục hồi có thể vượt quá 85 triệu đô la.

Động cơ đằng sau cuộc tấn công là sự trả thù vì kế hoạch phát hành phim The Interview của Sony, một bộ phim hài hước miêu tả vụ ám sát lãnh đạo Triều Tiên Kim Jong-un.

Mặc dù Bắc Triều Tiên phủ nhận liên quan, chính phủ Mỹ đã chính thức đưa ra kết luận rằng cuộc tấn công này do các nhà hoạt động đe dọa của Bắc Triều Tiên tiến hành, nhấn mạnh khả năng thực hiện các hoạt động mạng phức tạp của nhóm Lazarus với những ảnh hưởng địa chính trị đáng kể.

Bạn có biết không? Vào tháng 8 năm 2024, ZachXBT tiết lộ rằng 21 nhà phát triển Bắc Triều Tiên đã xâm nhập vào các công ty khởi nghiệp tiền điện tử, kiếm được 500.000 USD mỗi tháng.

FBI đã xác định các hacker chính của nhóm Lazarus đứng sau các cuộc tấn công mạng lớn

Cơ quan FBI đã công khai xác định ba hacker Triều Tiên nghi ngờ là thành viên của nhóm Lazarus.

Vào tháng 9 năm 2018, Cục điều tra Liên bang Mỹ (FBI) đã buộc tội Park Jin Hyok, một công dân Triều Tiên liên kết với Lazarus, về vai trò được cho là của ông trong các cuộc tấn công mạng lớn. Park, người được cho là làm việc cho Công ty Liên doanh Chosun Expo, một công ty mặt trận Triều Tiên, đã bị liên kết với vụ hack hệ thống của Sony Pictures vào năm 2014 và vụ cướp ngân hàng Bangladesh vào năm 2016, nơi đã bị đánh cắp 81 triệu đô la.

Cảnh sát liên bang cũng đã buộc tội Park về việc liên quan đến cuộc tấn công ransomware WannaCry 2.0 năm 2017, làm gián đoạn hoạt động của các bệnh viện, bao gồm cả NHS của Anh. Các nhà điều tra đã theo dõi anh và các đồng phạm thông qua mã malware chia sẻ, lưu trữ thông tin xác thực bị đánh cắp và dịch vụ proxy che giấu địa chỉ IP của Triều Tiên và Trung Quốc.

Vào tháng 2 năm 2021, Bộ Tư pháp Mỹ buộc tội Jon Chang Hyok và Kim Il vì liên quan đến tội phạm mạng toàn cầu. Jon đã phát triển và lan truyền ứng dụng tiền điện tử độc hại để xâm nhập vào các cơ quan tài chính, trong khi Kim điều phối việc phân phối phần mềm độc hại, vụ trộm tiền điện tử và ủy thác tiền điện tử ban đầu của Marine Chain.

Các chiến thuật phổ biến được nhóm Lazarus sử dụng

Nhóm Lazarus sử dụng một số chiến thuật tinh vi để tiến hành các cuộc tấn công mạng, bao gồm làm gián đoạn, sự lừa đảo, chống pháp lý điều tra và các kỹ thuật bảo vệ:

Disruption

Lazarus thực hiện các cuộc tấn công gây rối loạn bằng cách sử dụngphủ định dịch vụ phân tán (DDoS)và phần mềm diệt tác nhân gây hại với cơ chế kích hoạt dựa trên thời gian. Ví dụ, trojan KILLMBR xóa dữ liệu trên hệ thống nhắm mục tiêu vào một ngày được đặt trước, trong khi QDDOS, một phần mềm gây hại, xóa các tệp sau khi nhiễm phải. Một công cụ khác, DESTOVER, hoạt động như một cửa sau nhưng cũng có khả năng xóa dữ liệu. Các chiến thuật này nhằm làm đứt gãy hệ thống và làm cho chúng không thể vận hành được.

Sự lừa dối

Để che đậy sự tham gia của họ, Lazarus ngụy trang một số cuộc tấn công dưới hình thức công việc của các nhóm hư cấu như “GOP,” “WhoAmI” và “New Romanic Army.” Những nhóm này tuyên bố chịu trách nhiệm về cuộc tấn công, trong khi Lazarus là người chơi đứng sau trò chơi. Họ có thể phá hoại các trang web bằng một số chiến dịch tuyên truyền. Lazarus cũng nhúng cờ giả trong phần mềm độc hại của mình, chẳng hạn như sử dụng từ ngữ được La Tinh hóa trong cổng sau KLIPOD.

Cửa sau

Lazarus dựa vào cửa sau để truy cập vào hệ thống bị xâm nhập một cách liên tục, triển khai các công cụ như cửa sau Manuscrypt (NukeSped) trong các chiến dịch lừa đảo và các ứng dụng BLINDINGCAN và COPPERHEDGE chống lại các mục tiêu phòng thủ.

Công nghệ chống pháp lý

Để che giấu dấu vết của mình, Lazarus sử dụng một số kỹ thuật chống pháp lý số học:

• Phân tách thành phần: Trong các hoạt động liên quan đến nhóm con Bluenoroff của Lazarus, nó phân mảnh các thành phần malware để cản trở phân tích.
• Công cụ dòng lệnh: Nhiều cuộc tấn công phụ thuộc vào cửa sau dòng lệnh và các chương trình cài đặt yêu cầu các đối số cụ thể. Ví dụ, chương trình cài đặt của khung Nestegg yêu cầu một mật khẩu như một đối số.
• Wipers: Lazarus sử dụng wipers để xóa bằng chứng của cuộc tấn công sau khi hoạt động hoàn tất. Các mẫu DESTOVER đã được nhìn thấy trong một số hoạt động của Bluenoroff.
• Lưu và xóa bản ghi: Lazarus xóa dữ liệu prefetch, nhật ký sự kiện và bản ghi Bảng Tập Tin Chính (MFT) để loại bỏ dấu vết pháp lý học.

Bằng cách kết hợp những kỹ thuật này, Lazarus hiệu quả trong việc làm gián đoạn mục tiêu, làm lạc hướng nỗ lực đưa ra nguyên nhân, và che giấu hoạt động của mình.

Cách phòng thủ trước các cuộc tấn công của nhóm Lazarus

Để đối phó với các mối đe dọa do nhóm Lazarus đặt ra đòi hỏi một chiến lược an ninh toàn diện. Tổ chức phải triển khai nhiều lớp bảo vệ để bảo vệ tài sản kỹ thuật số của họ khỏi các cuộc tấn công mạng phức tạp.

Các biện pháp phòng thủ chính bạn cần áp dụng bao gồm:

• Bảo vệ DDoS: Tổ chức nên triển khai các chiến lược giảm thiểu mạnh mẽ để ngăn chặn sự gián đoạn dịch vụ và nguy cơ vi phạm dữ liệu tiềm ẩn. Việc xác định và loại bỏ các cuộc tấn công như vậy một cách tích cực là rất quan trọng.
• Thông tin đe doạ: Tận dụng thông tin đe doạ giúp phát hiện và đáp ứng với các mối đe doạ mạng, bao gồm ransomware và cuộc tấn công DDoS. Bạn cần phải cập nhật thông tin về các chiến thuật tiến triển được sử dụng bởi Lazarus để thực hiện hoạt động của họ.
• Bảo vệ tài sản: Các tổ chức tài chính, sàn giao dịch tiền điện tử và các mục tiêu có giá trị cao khác phải bảo vệ tài sản kỹ thuật số quan trọng chống lại các cuộc tấn công của Lazarus. Việc bảo vệ các điểm kết thúc hệ thống SWIFT, ATM và cơ sở hạ tầng ngân hàng là rất quan trọng.
• Theo dõi mối đe dọa liên tục: Việc theo dõi liên tục cơ sở hạ tầng mạng là cần thiết để phát hiện và giảm thiểu các xâm nhập tiềm ẩn. Các đội an ninh phải đảm bảo rằng tất cả các hệ thống được cập nhật đều đặn với các bản vá mới nhất để giảm thiểu lỗ hổng.
• Giải pháp bảo mật đa tầng: Các giải pháp bảo mật tiên tiến, như các giải pháp tích hợp phân tích hành vi, học máy và bảo vệ khai thác, tăng cường phòng thủ chống lại các cuộc tấn công nhắm mục tiêu. Công cụ tích hợp sandbox và bảo vệ ransomware cung cấp thêm các tầng bảo mật.
• Bảo vệ thời gian thực: Khi đối mặt với các cuộc tấn công phức tạp, bạn cần bảo vệ thời gian thực chống lại các cuộc tấn công nhắm mục tiêu. Bạn nên có khả năng phát hiện các cuộc tấn công nhắm mục tiêu ở bất kỳ nơi nào trong mạng bằng cách sử dụng các kỹ thuật đa thế hệ để áp dụng công nghệ phù hợp vào thời điểm phù hợp.

Tuy nhiên, vì công nghệ là một lĩnh vực phát triển nhanh chóng và các hacker liên tục phát triển các vectơ đe dọa mới, cá nhân và tổ chức nên duy trì tính chủ động và liên tục theo dõi những mối đe dọa mới nổi lên.

Như giáo sư Bill Buchanan, một chuyên gia hàng đầu về mật mã ứng dụng,nhấn mạnhChúng ta cần đầu tư mạnh vào an ninh mạng; nếu không chúng ta sẽ đến với một thế giới được bảo vệ bởi George Orwell trong cuốn 1984, hoặc một thế giới mà chúng ta trở thành nô lệ của máy móc.

Tuyên bố này nhấn mạnh những hậu quả sâu sắc của việc xem thường an ninh mạng và sự cần thiết của việc đầu tư liên tục vào các biện pháp bảo vệ.

Hãy nhớ, cuộc chiến chống lại những kẻ đe dọa tinh vi như vậy không phải là cuộc chiến của một lớp phòng thủ duy nhất mà là chiến lược liên tục bao gồm phòng ngừa, phát hiện và phản ứng nhanh.

Cuối cùng, để phòng thủ chống lại nhóm Lazarus đòi hỏi sự cảnh giác, các công cụ bảo mật tiên tiến và cam kết tổ chức cho sự cải thiện liên tục. Chỉ thông qua những nỗ lực tập thể này, doanh nghiệp và tổ chức mới có thể bảo vệ tài sản, duy trì niềm tin và luôn dẫn trước bước một so với các tội phạm mạng.

Tuyên bố từ chối trách nhiệm：

1. Bài viết này được sao chép từ [GateCoinTelegraph]. All copyrights belong to the original author [Dilip Kumar Patairya]. Nếu có ý kiến phản đối về việc tái bản này, vui lòng liên hệ với Gate Learnđội ngũ, và họ sẽ xử lý ngay lập tức.
2. Bản từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi được nêu ra, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là không được phép.