Vào tháng 8 năm 2025, một chiến dịch tấn công mạng phức tạp có tên Operation DreamJob đã nhắm mục tiêu vào một công ty con ở châu Á thuộc một tập đoàn sản xuất lớn của châu Âu. Cuộc tấn công sử dụng một sơ đồ chào mời công việc giả mạo, cho thấy các đối tượng đe dọa tiếp tục tinh chỉnh kỹ thuật lừa đảo xã hội để xâm nhập các mục tiêu giá trị cao trong lĩnh vực sản xuất.

Chiến dịch này đặc biệt khai thác tính năng nhắn tin WhatsApp Web để phát tán các tải trọng mã độc được ngụy trang dưới dạng cơ hội việc làm hợp pháp, nhằm chiếm quyền điều khiển hệ thống.

Kỹ Thuật Xâm Nhập Ban Đầu của Chiến Dịch Tấn Công Mạng

Phương Thức Phân Phối và Nội Dung Độc Hại

Cuộc tấn công mạng bắt đầu khi một kỹ sư dự án nhận được tin nhắn WhatsApp Web có mục tiêu, chứa một tài liệu có vẻ liên quan đến công việc. Tin nhắn khuyến khích người nhận tải xuống và giải nén một file ZIP.

File ZIP này chứa ba thành phần: một file PDF độc hại, một trình xem tài liệu mã nguồn mở hợp pháp có tên SumatraPDF.exe, và một file DLL độc hại được đặt tên là libmupdf.dll.

Cơ Chế Khai Thác DLL Sideloading

Sự kết hợp này đã vũ khí hóa một ứng dụng đáng tin cậy thông qua kỹ thuật DLL sideloading. Đây là một phương pháp thường thấy trong các cuộc tấn công mạng hiện đại. Theo đó, file thực thi hợp pháp đã vô tình tải thư viện độc hại. Khi nạn nhân mở tài liệu PDF, ứng dụng SumatraPDF sẽ tự động tải file libmupdf.dll độc hại.

Các nhà nghiên cứu đã xác nhận libmupdf.dll là một biến thể loader gần đây của BURNBOOK. Backdoor này cho phép những kẻ tấn công thiết lập quyền truy cập ban đầu và bắt đầu các hoạt động trinh sát trong mạng.

Chiến Dịch Sau Xâm Nhập và Duy Trì Quyền Truy Cập

Phân Tích Threat Intelligence và Nhận Dạng Nhóm Đe Dọa

Các nhà phân tích bảo mật của Orange Cyberdefense đã điều tra sự cố và quy kết cuộc tấn công mạng này với độ tin cậy trung bình cho nhóm đe dọa UNC2970 của Triều Tiên. Báo cáo của Orange Cyberdefense cung cấp cái nhìn sâu sắc về chiến dịch này.

Phân tích của họ tiết lộ rằng sự xâm nhập đã khai thác các biến thể mã độc tinh vi, cụ thể là BURNBOOK và MISTPEN, cùng với cơ sở hạ tầng SharePoint và WordPress bị chiếm quyền điều khiển để thực hiện các hoạt động chỉ huy và kiểm soát (C2) trong cuộc tấn công mạng này.

Kỹ Thuật Mở Rộng Quyền Kiểm Soát Trong Tấn Công Mạng

Những kẻ tấn công đã duy trì quyền truy cập liên tục trong ít nhất sáu giờ liên tục, thực hiện các hoạt động “hands-on keyboard” trong suốt quá trình xâm nhập. Sau khi xâm nhập thành công, các đối tượng đe dọa đã triển khai nhiều kỹ thuật để mở rộng sự hiện diện của mình trên mạng lưới sản xuất.

Họ đã thực hiện các truy vấn LDAP mở rộng đối với Active Directory để liệt kê người dùng và máy tính trong miền, thu thập threat intelligence cho các hoạt động di chuyển ngang (lateral movement).

Sau đó, chúng đã chiếm quyền điều khiển các tài khoản sao lưu và tài khoản quản trị bằng kỹ thuật pass-the-hash. Phương pháp này cho phép xác thực mà không cần mật khẩu dạng văn bản rõ ràng, bằng cách trích xuất và tái sử dụng các hash mật khẩu NTLM cho xác thực mạng.

Triển Khai Backdoor MISTPEN và Hoạt Động C2

Các đối tượng tấn công đã triển khai một tải trọng bổ sung có tên TSVIPsrv.dll, được xác định là một biến thể backdoor của MISTPEN. Mã độc này đã giải mã và thực thi wordpad.dll.mui trực tiếp trong bộ nhớ.

Quá trình này thiết lập các kết nối đến các máy chủ SharePoint đã bị chiếm quyền điều khiển để liên lạc chỉ huy và kiểm soát (C2). Đây là bước quan trọng để duy trì khả năng điều hành từ xa trong tấn công mạng.

Mô-đun Đánh Cắp Thông Tin và Rò Rỉ Dữ Liệu

Giai đoạn cuối cùng liên quan đến việc triển khai Release_PvPlugin_x64.dll. Mô-đun này hoạt động như một công cụ đánh cắp thông tin, được thiết kế để trích xuất dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm.

Hoạt động này cho thấy mục tiêu cuối cùng của cuộc tấn công mạng là thu thập và đánh cắp các thông tin có giá trị cao từ tổ chức mục tiêu.

Chỉ Số Bị Tổn Thương (IOCs)

• Nhóm đe dọa: UNC2970 (quy kết với độ tin cậy trung bình bởi Orange Cyberdefense)
• Chiến dịch: Operation DreamJob
• Malware Loaders/Backdoors:
  • BURNBOOK (biến thể loader)
  • MISTPEN (biến thể backdoor)
• File độc hại:
  • libmupdf.dll (BURNBOOK loader)
  • TSVIPsrv.dll (MISTPEN backdoor)
  • Release_PvPlugin_x64.dll (mô-đun đánh cắp thông tin)
  • wordpad.dll.mui (thực thi trong bộ nhớ bởi MISTPEN)
• Kỹ thuật khai thác: DLL Sideloading (sử dụng SumatraPDF.exe)
• Hạ tầng C2 bị chiếm quyền: SharePoint, WordPress
• Kỹ thuật di chuyển ngang: Pass-the-hash, truy vấn LDAP vào Active Directory