Một chiến dịch tấn công mạng tinh vi được cho là do các tác nhân đe dọa liên kết với Triều Tiên thực hiện, đang lợi dụng các dịch vụ lưu trữ JSON hợp pháp. Mục tiêu của chiến dịch này là triển khai mã độc tiên tiến tới các nhà phát triển phần mềm trên toàn thế giới.

Chiến Dịch “Contagious Interview”: Mục Tiêu và Phạm Vi

Chiến dịch “Contagious Interview” đã hoạt động liên tục từ ít nhất năm 2023. Các mục tiêu chính của chiến dịch tập trung vào lợi ích tài chính cho chính quyền Triều Tiên.

Chiến dịch nhắm mục tiêu rõ ràng vào các nhà phát triển phần mềm trên tất cả các hệ điều hành lớn bao gồm Windows, Linux và macOS. Đặc biệt, nó chú trọng vào những cá nhân tham gia vào các dự án phát triển tiền điện tử và Web3.

Sự tập trung này phản ánh động cơ rõ ràng của kẻ tấn công nhằm đánh cắp tài sản kỹ thuật số và thông tin đăng nhập nhạy cảm từ những người quản lý các tài khoản và ví có giá trị.

Quy Trình Xâm Nhập Ban Đầu

Kỹ Thuật Social Engineering Tinh Vi

Chuỗi tấn công bắt đầu bằng kỹ thuật social engineering được xây dựng tỉ mỉ. Các tác nhân đe dọa tạo hồ sơ tuyển dụng giả mạo trên các nền tảng mạng xã hội chuyên nghiệp như LinkedIn, mạo danh các chuyên gia tuyển dụng hoặc đại diện công ty hợp pháp.

Trong các ví dụ được ghi nhận, kẻ tấn công giả làm giám đốc y tế hoặc các chuyên gia khác, tiếp cận mục tiêu để đưa ra các dự án phát triển có vẻ hợp pháp.

Phân Phối Mã Độc Qua Dự Án Demo Giả Mạo

Sau khi thiết lập mối quan hệ ban đầu thông qua thư tín ngắn gọn, nhà tuyển dụng giả mạo gửi một “dự án demo” được lưu trữ trên các kho mã nguồn hợp pháp, chẳng hạn như GitLab. Họ yêu cầu mục tiêu thực hiện các nhiệm vụ viết mã phỏng vấn bằng Node.js.

Phương Pháp Phân Phối Mã Độc Nâng Cao

Lợi Dụng Dịch Vụ Lưu Trữ JSON Hợp Pháp

Sự tinh vi về mặt kỹ thuật thể hiện ở cách mã độc được phân phối. Trong các tệp cấu hình của dự án demo, cụ thể là trong server/config/.config.env, các tác nhân đe dọa nhúng các biến được mã hóa base64. Chúng ngụy trang thành các khóa API lành tính.

Khi được giải mã, các biến này tiết lộ các URL trỏ đến các dịch vụ lưu trữ JSON hợp pháp, bao gồm JSON Keeper, JSON Silo và npoint.io. Các dịch vụ này lưu trữ mã JavaScript bị làm rối nghiêm trọng, được tìm nạp và thực thi động khi dự án có vẻ vô hại chạy. Chiến dịch “Contagious Interview” là một ví dụ điển hình về việc lạm dụng cơ sở hạ tầng tin cậy để thực hiện các cuộc tấn công có mục tiêu. Bạn có thể tìm hiểu thêm chi tiết về cơ chế tấn công này tại blog của NVISO.

Cơ Chế Khó Phát Hiện

Phương pháp này được thiết kế có chủ đích để vượt qua các hệ thống phát hiện. Payload độc hại không có mặt trong chính kho lưu trữ mà chỉ là một tham chiếu đến nó. Điều này làm cho phân tích tĩnh không đủ để phát hiện mối đe dọa mạng.

Trong quá trình thực thi runtime, mã bị làm rối xuất hiện như lưu lượng truy cập API bình thường, hòa trộn liền mạch vào hoạt động mạng hợp pháp.

Các Payload Chính: BeaverTail và InvisibleFerret

BeaverTail Infostealer

Sau nhiều lớp giải mã, payload chính triển khai BeaverTail, một infostealer có khả năng trích xuất dữ liệu tinh vi. BeaverTail liệt kê và đánh cắp hồ sơ trình duyệt, tập trung đặc biệt vào các tiện ích mở rộng ví tiền điện tử như MetaMask, Phantom và TronLink.

Mã độc này còn trích xuất thông tin hệ thống, tài liệu Word, tệp PDF, ảnh chụp màn hình, biến môi trường. Trên hệ thống macOS, nó còn lấy cắp cơ sở dữ liệu Keychain của người dùng chứa các mật khẩu nhạy cảm.

InvisibleFerret Remote Access Trojan (RAT)

BeaverTail sau đó tìm nạp và thực thi InvisibleFerret, một Remote Access Trojan (RAT) dựa trên Python có cấu trúc module. InvisibleFerret cung cấp khả năng chiếm quyền điều khiển hệ thống hoàn chỉnh và duy trì sự hiện diện.

InvisibleFerret kết hợp các kỹ thuật làm rối tinh vi, sử dụng khóa XOR nhúng để làm rối chuỗi và nhúng hơn 1.000 URL đã mã hóa để phân phối payload liên tục.

Khung Tsunami Component

Chiến dịch sử dụng khung Tsunami ba thành phần trong InvisibleFerret:

• Tsunami Payload: Thêm các ngoại lệ cho Windows Defender và tạo các tác vụ theo lịch trình.
• Tsunami Injector: Đảm bảo tính bền vững và cài đặt các gói Python cần thiết.
• Tsunami Infector: Xác thực cài đặt Python và tự động cài đặt nếu cần, sử dụng lời nhắc UAC để có được quyền quản trị.

Khung này triển khai xác minh chữ ký RSA để đảm bảo tính toàn vẹn của payload, thể hiện các thực tiễn bảo mật hoạt động trưởng thành.

Chỉ Số Thỏa Hiệp (IOCs) và Thành Công Chiến Dịch

Bằng chứng cho thấy chiến dịch đã đạt được thành công đáng kể. Phân tích tiết lộ một kho lưu trữ Pastebin được sử dụng để dàn dựng payload đã nhận được hơn 400 lượt xem.

Các nhà nghiên cứu đã xác định nhiều kho lưu trữ và thành phần cơ sở hạ tầng bổ sung thông qua việc xoay trục trên các chỉ số đã phát hiện. Các nhóm bảo mật đã phối hợp với đại diện từ các dịch vụ lưu trữ JSON bị lạm dụng, những người đã xác nhận việc loại bỏ nội dung độc hại và cam kết tiếp tục giám sát.

Các IOCs chính được ghi nhận:

• Dịch vụ lưu trữ JSON bị lạm dụng: JSON Keeper, JSON Silo, npoint.io
• Nền tảng dàn dựng payload: Các kho lưu trữ Pastebin
• Nền tảng code repository bị lạm dụng: GitLab
• Nền tảng social engineering: LinkedIn

Biện Pháp Phòng Ngừa và Bảo Vệ Hệ Thống

Chiến dịch “Contagious Interview” là một minh chứng cho thấy các tác nhân đe dọa tinh vi lạm dụng cơ sở hạ tầng hợp pháp, đáng tin cậy để thực hiện các cuộc tấn công mạng có mục tiêu, đồng thời duy trì sự bí mật trong hoạt động.

Các tổ chức nên triển khai các quy trình xem xét mã nghiêm ngặt cho tất cả các đánh giá tuyển dụng. Cần xác minh tính hợp pháp của nhà tuyển dụng thông qua các kênh chính thức. Ngoài ra, việc giám sát các yêu cầu API bất thường đến các dịch vụ lưu trữ JSON là một phần quan trọng trong các chiến lược phòng thủ an ninh mạng toàn diện.