Nhóm tấn công mạng giả danh các công ty đầu tư vốn mạo hiểm tại Nhật Bản, Việt Nam và Mỹ

Một nhóm chuyên gia bảo mật đã đưa ra nghi vấn rằng chiến dịch tấn công này có liên quan đến APT38. Đây là một nhóm tấn công được cho là hoạt động dưới sự hỗ trợ của chính phủ Triều Tiên và đã thực hiện nhiều chiến dịch tấn công nhằm vào các công ty tiền ảo và tổ chức khác.

Trước đó, nhóm tấn công này đã thực hiện nhiều chiến dịch khác với mục tiêu liên quan đến tài chính, xâm nhập vào các sàn giao dịch tiền ảo, ngân hàng thương mại và hệ thống thương mại điện tử.

Mục tiêu của những chiến dịch này là củng cố nỗ lực của chính quyền Triều Tiên trong việc thực hiện các lệnh trừng phạt. Điểm nổi bật của chiến dịch này là việc giả mạo các công ty đầu tư vốn mạo hiểm. Trước đó, APT38 đã từng tấn công Hiệp hội Viễn thông tài chính liên ngân hàng toàn cầu - SWIFT và một sàn giao dịch tiền ảo.

Trong tháng 03/2022, đã xác định được sử dụng 18 máy chủ độc hại bởi nhóm tấn công, cho phép đối tượng tấn công phát tán mã độc và giả danh thành dịch vụ cloud, sàn giao dịch tiền ảo và các công ty đầu tư tư nhân để đánh lừa người dùng mở các nội dung độc hại hoặc cung cấp thông tin cá nhân của họ cho nhóm tấn công.

Mục tiêu của những cuộc tấn công vào các công ty và ngân hàng đầu tư là tiết lộ thông tin bí mật của đối tượng và người dùng, tạo ra những hành động pháp lý và gây rối cho các thỏa thuận và đàm phán kinh doanh còn đang diễn ra hoặc để tiết lộ thông tin có hại cho chiến lược đầu tư.

Trong một chiến dịch tấn công mạng diễn ra từ giữa tháng 1 đến tháng 3 năm 2023, nhóm chuyên gia đã phát hiện thêm 3 địa chỉ IP liên quan đến nhóm tấn công này. Các địa chỉ IP này đã lưu trữ 21 tên miền liên quan đến các thuật ngữ thường được sử dụng bởi phần mềm văn bản như "doc-share" và "autoprotect", và một số tên miền khác chứa nội dung của các công ty tài chính tại Nhật Bản, Việt Nam và Mỹ.

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia - thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, để giảm thiểu nguy cơ bị tấn công mạng, các cơ quan và tổ chức cần tăng cường kiểm tra và quét hệ thống, cũng như sẵn sàng áp dụng các biện pháp xử lý khi phát hiện dấu hiệu của một cuộc tấn công mạng.