Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mối đe dọa dai dẳng nâng cao (APT) Tác nhân đe dọa JINX-0164

Tác nhân đe dọa JINX-0164

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Phần mềm độc hại, Phần mềm độc hại di động
Dịch sang:

Một nhóm tội phạm mạng chưa từng được ghi nhận trước đây, được xác định là JINX-0164, đã dàn dựng một chiến dịch tấn công mạng có mục tiêu cao nhắm vào các tổ chức tiền điện tử, sử dụng kỹ thuật xã hội chiêu mộ nhân tài và phần mềm độc hại macOS tự chế để đánh cắp tài sản kỹ thuật số. Hoạt động từ ít nhất giữa năm 2025, nhóm này có động cơ tài chính và tập trung mạnh vào các nhà phát triển, và trong ít nhất một vụ việc được xác nhận, đã thực hiện xâm phạm chuỗi cung ứng phần mềm.

Chiến dịch này thể hiện sự kết hợp tinh vi giữa các chiến thuật tuyển dụng lừa đảo, triển khai phần mềm độc hại và xâm nhập sâu vào môi trường CI/CD. Bằng cách xâm nhập vào máy trạm của nhân viên, tin tặc đã thành công trong việc thâm nhập vào cơ sở hạ tầng phát triển và hệ thống phân phối mã, làm tăng đáng kể phạm vi và tác động của các vụ xâm nhập.

Các chiêu trò lừa đảo tuyển dụng trở thành điểm khởi đầu.

JINX-0164 dựa trên việc thuyết phục các tài khoản LinkedIn giả mạo liên hệ với các nhà phát triển và nhân viên mục tiêu đang làm việc trong các tổ chức liên quan đến tiền điện tử. Nạn nhân được mời tham gia các cuộc họp ảo được tổ chức trên các tên miền giả mạo các nền tảng hội nghị trực tuyến hợp pháp.

Trong quá trình thiết lập cuộc họp giả mạo, nạn nhân được hướng dẫn tải xuống một tệp có vẻ như là phần mềm họp trực tuyến hoặc bản vá lỗi kỹ thuật. Trên thực tế, tệp được tải xuống sẽ khởi động chuỗi lây nhiễm bằng cách lấy một phần mềm đánh cắp thông tin macOS dựa trên Python và phần mềm độc hại truy cập từ xa có tên AUDIOFIX từ một tên miền phân phối trình điều khiển giả mạo, 'apple.driver-store.com'.

Quá trình lây nhiễm được thực hiện thông qua một kịch bản bash có khả năng xác định kiến trúc hệ thống của nạn nhân, cho phép phần mềm độc hại hoạt động trơn tru trên cả các thiết bị macOS dựa trên Intel và Apple Silicon. Phần mềm độc hại tự ngụy trang thành trình điều khiển âm thanh hệ thống có tên 'coreaudiod', được lưu trữ cục bộ dưới dạng 'ChromeUpdater' và được khởi chạy bằng cơ chế launchctl của macOS để duy trì hoạt động.

AUDIOFIX cho phép thỏa hiệp sâu rộng với hệ thống.

Sau khi được triển khai, AUDIOFIX thực hiện các hoạt động đánh cắp thông tin đăng nhập và trinh sát quy mô lớn, đồng thời hỗ trợ di chuyển ngang vào cơ sở hạ tầng nội bộ. Các nhà nghiên cứu đã quan sát thấy phần mềm độc hại này được sử dụng để tiêm các tải trọng độc hại vào hệ thống phát triển và sửa đổi mã nguồn nhằm mục đích xâm phạm thêm các điểm cuối và thu thập thông tin đăng nhập ví tiền điện tử.

Phần mềm độc hại này có khả năng đánh cắp nhiều loại thông tin nhạy cảm, bao gồm:

  • Thông tin đăng nhập trình quản lý mật khẩu, dữ liệu trình duyệt, tệp iCloud Keychain, khóa SSH, thông tin đăng nhập quản trị viên, bản ghi lịch sử bảng điều khiển và tệp cấu hình.
  • Địa chỉ ví tiền điện tử, dữ liệu tiện ích mở rộng trình duyệt liên kết với các dịch vụ tiền điện tử và các phiên hoạt động từ Discord, Slack và Telegram.

Ngoài việc đánh cắp thông tin, AUDIOFIX còn hỗ trợ thực thi lệnh từ xa, xóa tập tin, phân phối phần mềm độc hại, các hoạt động trinh sát và đánh cắp dữ liệu từ các hệ thống bị nhiễm.

MiniRAT mở rộng mối đe dọa thông qua việc lạm dụng chuỗi cung ứng.

Một thành phần quan trọng khác của chiến dịch là MiniRAT, một phần mềm cửa hậu dựa trên ngôn ngữ Go, được liên kết với một gói npm bị xâm nhập có tên '@velora-dex/sdk'. Gói này có liên quan đến một bộ công cụ tài chính phi tập trung hợp pháp được sử dụng để trao đổi token, giao dịch delta và đặt lệnh giới hạn trên nền tảng VeloraDEX.

Phiên bản độc hại của gói phần mềm này đã tải xuống một tập lệnh shell từ máy chủ từ xa, cuối cùng triển khai một tệp nhị phân MiniRAT dành riêng cho macOS. Sau khi được cài đặt, phần mềm độc hại cho phép kẻ tấn công tải lên các tập tin, thực thi các lệnh shell tùy ý và tải xuống các payload bổ sung từ cơ sở hạ tầng do kẻ tấn công kiểm soát.

JINX-0164 đã liên tục tái sử dụng các chiến thuật tấn công phi kỹ thuật (social engineering) liên quan đến các cơ hội tuyển dụng giả mạo và các vấn đề kỹ thuật được bịa đặt, yêu cầu nạn nhân cài đặt các bản vá phần mềm gian lận. Phương pháp nhất quán này cho thấy nhóm này đặc biệt chú trọng đến việc thao túng con người như một phương thức xâm nhập chính.

Có thể có liên hệ với các hoạt động mạng của Triều Tiên.

Một số đặc điểm của chiến dịch này tương tự như hoạt động trước đây liên quan đến các nhóm tội phạm mạng của Triều Tiên như BlueNoroff, Contagious Interview và UNC1069. Các nhà nghiên cứu ghi nhận sự tương đồng trong mô hình nhắm mục tiêu, tên miền giả mạo và việc sử dụng các dịch vụ VPN như Astrill VPN.

Mặc dù có những điểm trùng lặp này, các nhà điều tra vẫn chưa xác định được bất kỳ kết nối cơ sở hạ tầng nào được khẳng định liên kết trực tiếp JINX-0164 với các hoạt động do nhà nước Triều Tiên tài trợ. Bằng chứng hiện tại cho thấy sự tương đồng về hoạt động hơn là bằng chứng chắc chắn về mối liên hệ.

xu hướng

Lừa đảo qua email nâng cấp dịch vụ hộp thư

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động ngay lập tức luôn cần được xử lý cẩn trọng. Tội phạm mạng thường ngụy trang các chiến dịch lừa đảo dưới dạng cảnh báo bảo mật thông thường hoặc thông báo dịch vụ nhằm đánh cắp thông tin nhạy cảm. Các email có tiêu đề "Nâng cấp dịch vụ hộp thư" là một phần của kiểu lừa đảo này và không liên quan đến bất kỳ nhà cung cấp email, công ty, tổ chức hoặc cơ quan...

Xem nhiều nhất

Đang tải...