The North Korean-linked threat group BlueNoroff, còn được biết đến với các bí danh như Sapphire Sleet, APT38, và Alluring Pisces, tiếp tục phát triển các chiến thuật tấn công mạng trong khi vẫn duy trì mục tiêu chính là lợi ích tài chính.

Nhóm này đã thay đổi chiến lược để sử dụng các phương pháp xâm nhập mới tinh vi.

Chúng nhắm mục tiêu vào các nạn nhân giá trị cao, bao gồm các giám đốc điều hành cấp C, quản lý và nhà phát triển blockchain trong các lĩnh vực Web3 và quỹ đầu tư mạo hiểm.

Các nhà nghiên cứu bảo mật đã xác định hai chiến dịch riêng biệt, được đặt tên là GhostCall và GhostHire.

Chúng cho thấy sự tinh vi ngày càng tăng của tác nhân và việc sử dụng các kỹ thuật kỹ thuật xã hội kết hợp với các cơ chế phân phối phần mềm độc hại tiên tiến.

Các chiến dịch tấn công của BlueNoroff và mối đe dọa mạng

BlueNoroff (hoặc Sapphire Sleet) đã chứng tỏ khả năng thích ứng cao bằng việc liên tục đổi mới phương pháp xâm nhập.

Nhóm này đặc biệt nhắm vào các cá nhân và tổ chức có giá trị cao.

Các mục tiêu bao gồm các giám đốc cấp cao (C-level executives), quản lý, và nhà phát triển blockchain trong lĩnh vực Web3 và quỹ đầu tư mạo hiểm.

Chiến dịch GhostCall: Lừa đảo qua cuộc gọi giả mạo

Chiến dịch GhostCall đại diện cho một trong những hoạt động lừa đảo tinh vi nhất của BlueNoroff.

Nó khai thác các chiến thuật lừa đảo (phishing) được thiết kế cẩn thận để xâm phạm các hệ thống macOS.

Cuộc tấn công bắt đầu trên nền tảng Telegram, nơi các tác nhân đe dọa giả mạo làm nhà đầu tư mạo hiểm.

Chúng cũng có thể sử dụng các tài khoản bị xâm nhập của các doanh nhân hợp pháp để thiết lập liên lạc với các mục tiêu.

Kẻ tấn công đưa ra các cơ hội đầu tư hoặc hợp tác sinh lợi, sau đó sử dụng Calendly để lên lịch các cuộc họp giả.

Các liên kết cuộc họp này trỏ đến các tên miền bắt chước giao diện Zoom hợp pháp.

Khi truy cập các tên miền độc hại này, nạn nhân gặp một giao diện được thiết kế kỹ lưỡng, mô phỏng hoàn toàn giao diện của Zoom.

Trang này yêu cầu người dùng bật camera và nhập tên của họ.

Thay vì tham gia một cuộc gọi video thật, nạn nhân được hiển thị một cuộc họp trực tiếp có vẻ như có ba người tham gia.

Sự lừa dối then chốt nằm ở các video được hiển thị.

Đây không phải là deepfake hay nội dung do AI tạo ra như nhiều nạn nhân ban đầu lầm tưởng.

Chúng là các bản ghi thực tế được bí mật quay từ các nạn nhân trước đó.

Kẻ tấn công cũng đôi khi sử dụng tính năng siêu liên kết của Telegram để che giấu các URL lừa đảo và ngụy trang chúng thành URL hợp pháp.

Cơ sở hạ tầng do kẻ tấn công kiểm soát lưu trữ các bản ghi webcam này.

Chúng được phát lại cho các mục tiêu mới, tạo ra một ảo ảnh thuyết phục về một cuộc họp thực sự.

Sau khi cuộc gọi giả mạo kết thúc, nạn nhân được dẫn dắt qua một loạt các bước kỹ thuật xã hội.

Mục tiêu là cài đặt phần mềm độc hại.

ZoomClutch đánh cắp mật khẩu macOS bằng cách hiển thị một hộp thoại Zoom giả mạo.

Sau đó, nó gửi các thông tin đăng nhập đã bị đánh cắp tới máy chủ C2.

Các tác nhân đe dọa chuyển blame từ các vấn đề kỹ thuật sang các vấn đề âm thanh.

Điều này thuyết phục các mục tiêu tải xuống và thực thi mã AppleScript độc hại, được ngụy trang dưới dạng các bản cập nhật ứng dụng Zoom hợp pháp. Xem thêm chi tiết tại Securelist.

Đây đánh dấu sự chuyển đổi từ giai đoạn xâm nhập ban đầu sang nhiễm hệ thống hoàn toàn.

Các script tải xuống các tệp ZIP chứa các chuỗi phần mềm độc hại đa thành phần, được điều chỉnh cho hệ điều hành của nạn nhân.

Chiến dịch GhostHire: Tuyển dụng giả mạo nhắm vào Web3

Bổ sung cho chiến dịch GhostCall là GhostHire, nhắm mục tiêu vào các nhà phát triển Web3 thông qua các quy trình tuyển dụng gian lận.

Các tác nhân BlueNoroff giả mạo làm nhà tuyển dụng hợp pháp.

Chúng tiến hành các cuộc gọi sàng lọc ban đầu trước khi thêm các nạn nhân tiềm năng vào các bot Telegram.

Các bot này sau đó phân phối các tệp ZIP hoặc liên kết kho lưu trữ GitHub chứa mã độc hại, được đóng khung dưới dạng các bài đánh giá kỹ thuật.

Nạn nhân phải đối mặt với áp lực thời gian giả tạo (thời hạn 30 phút để hoàn thành nhiệm vụ).

Điều này khuyến khích việc thực thi nhanh chóng các tải trọng độc hại.

Phần mềm độc hại tự động chọn chuỗi lây nhiễm thích hợp dựa trên user agent, xác định hệ điều hành của nạn nhân.

Các thành phần mã độc và tác động của mối đe dọa mạng

Các nhà nghiên cứu đã xác định bảy chuỗi lây nhiễm đa thành phần riêng biệt, được triển khai trên cả hai chiến dịch của BlueNoroff.

Các chuỗi này đi kèm với các bộ stealer tinh vi và keylogger.

Các thành phần phần mềm độc hại này trích xuất nhiều thông tin nhạy cảm.

Bao gồm thông tin đăng nhập ví tiền điện tử, dữ liệu Keychain trên macOS, các khóa API cho các dịch vụ đám mây như OpenAI, thông tin đăng nhập cơ sở hạ tầng DevOps, mật khẩu được lưu trữ trong trình duyệt, và token xác thực từ các ứng dụng nhắn tin bao gồm Telegram.

Sự tinh vi và khả năng thích ứng của BlueNoroff trong xâm nhập hệ thống

Việc BlueNoroff tích hợp trí tuệ nhân tạo (AI) trong các chiến dịch này cho thấy sự đầu tư của nhóm.

Mục đích là mở rộng hoạt động đồng thời duy trì độ chính xác trong việc nhắm mục tiêu và thực hiện cuộc tấn công.

Tổ chức này đã được theo dõi thực hiện các hoạt động này ít nhất từ tháng 4 năm 2025.

Các báo cáo về nạn nhân liên tục xuất hiện trên các nền tảng mạng xã hội.

Các nhà nghiên cứu bảo mật nhấn mạnh rằng việc hiểu rõ các chiến thuật tinh vi này là rất quan trọng.

Điều này giúp bảo vệ lãnh đạo tổ chức và các nhà phát triển làm việc trong hệ sinh thái blockchain.

Bảo vệ họ khỏi những mối đe dọa tài chính dai dẳng này có thể dẫn đến xâm nhập hệ thống nghiêm trọng.