Hai trong số các nhóm hacker nguy hiểm nhất của Triều Tiên, Kimsuky và Lazarus, đã hợp lực để triển khai một chiến dịch tấn công mạng phối hợp. Chiến dịch này đe dọa các tổ chức trên toàn thế giới với mục tiêu đánh cắp thông tin tình báo nhạy cảm và tiền điện tử.

Cách tiếp cận có hệ thống của chúng kết hợp kỹ thuật xã hội với việc khai thác các lỗ hổng zero-day. Sự hợp tác này đánh dấu một sự thay đổi lớn trong cách thức hoạt động của các nhóm tấn công được nhà nước tài trợ, chuyển từ các cuộc tấn công riêng lẻ sang các hoạt động phối hợp chặt chẽ.

Chiến Dịch Tấn Công Mạng Phức Hợp: Kimsuky và Lazarus

Chiến dịch bắt đầu với nhóm Kimsuky thực hiện giai đoạn do thám. Kimsuky sử dụng các email lừa đảo được thiết kế tinh vi.

Các email này thường ngụy trang dưới dạng lời mời tham dự hội nghị học thuật hoặc yêu cầu hợp tác nghiên cứu. Chúng được dùng để thu thập thông tin tình báo ban đầu.

Giai Đoạn Do Thám và Xâm Nhập Ban Đầu

Các tin nhắn lừa đảo chứa các tệp đính kèm độc hại ở định dạng HWP hoặc MSC. Khi người dùng mở các tệp này, backdoor FPSpy sẽ được triển khai vào hệ thống mục tiêu.

Sau khi được cài đặt, backdoor FPSpy sẽ kích hoạt một keylogger có tên KLogEXE. Keylogger này có nhiệm vụ thu thập mật khẩu, nội dung email và thông tin hệ thống quan trọng.

Giai đoạn thu thập thông tin này cho phép kẻ tấn công lập bản đồ kiến trúc mạng của mục tiêu. Từ đó, chúng xác định các tài sản có giá trị trước khi chuyển quyền kiểm soát cho nhóm Lazarus.

Các nhóm chuyên gia an ninh mạng cần đặc biệt chú ý đến các dấu hiệu của giai đoạn thăm dò này.

Khai Thác Lỗ Hổng Zero-Day và Chiếm Quyền Hệ Thống

Các nhà nghiên cứu bảo mật từ CN-SEC đã ghi nhận rằng nhóm Lazarus sau đó khai thác các lỗ hổng zero-day để giành quyền truy cập sâu hơn vào các hệ thống đã bị xâm nhập. Theo báo cáo của CN-SEC, đây là bước quan trọng trong chuỗi tấn công.

Nhóm này đã vũ khí hóa CVE-2024-38193, một lỗ hổng leo thang đặc quyền trong Windows. Lỗ hổng này cho phép chúng triển khai các gói Node.js độc hại nhưng trông có vẻ hợp lệ.

Khi các gói này được thực thi, kẻ tấn công sẽ giành được đặc quyền cấp SYSTEM. Đây là mức đặc quyền cao nhất trên hệ điều hành Windows, cho phép chúng thực hiện hầu hết mọi tác vụ.

Để biết thêm chi tiết về CVE-2024-38193, độc giả có thể tham khảo tại NVD – NIST.

Tiếp theo, chúng cài đặt backdoor InvisibleFerret. Backdoor này có khả năng vượt qua các công cụ phát hiện điểm cuối (Endpoint Detection and Response – EDR) thông qua thành phần malware Fudmodule.

Cơ Chế Hoạt Động Của Backdoor InvisibleFerret

Backdoor InvisibleFerret thể hiện một bước tiến đáng kể trong khả năng né tránh. Nó ngụy trang lưu lượng mạng của mình dưới dạng các yêu cầu web HTTPS thông thường.

Điều này khiến việc phát hiện thông qua phân tích lưu lượng trở nên cực kỳ khó khăn đối với các đội ngũ an ninh mạng. Kẻ tấn công sử dụng các kỹ thuật tinh vi để duy trì ẩn danh.

Mã độc này đặc biệt nhắm mục tiêu vào các ví blockchain bằng cách quét bộ nhớ hệ thống. Mục tiêu là tìm kiếm các khóa riêng tư và dữ liệu giao dịch được lưu trữ trong các tiện ích mở rộng trình duyệt và ứng dụng máy tính để bàn.

Trong một trường hợp được ghi nhận, kẻ tấn công đã chuyển 32 triệu USD tiền điện tử chỉ trong vòng 48 giờ mà không kích hoạt bất kỳ cảnh báo bảo mật nào. Điều này cho thấy hiệu quả đáng báo động của cuộc tấn công mạng này.

Backdoor InvisibleFerret giao tiếp với các máy chủ command and control (C2) thông qua các kênh được mã hóa. Các kênh này xoay vòng hàng ngày bằng chiến lược thăm dò tên miền.

Mỗi tên miền C2 được ngụy trang dưới dạng một trang web thương mại điện tử hoặc tin tức hợp pháp để tránh bị nghi ngờ và khó bị phát hiện.

Xóa Dấu Vết và Các Ngành Bị Ảnh Hưởng

Sau khi hoàn thành các mục tiêu, cả hai nhóm phối hợp để xóa bằng chứng thông qua cơ sở hạ tầng chung. Đây là một phần quan trọng của quy trình tấn công mạng bài bản.

Chúng ghi đè các tệp độc hại bằng các tiến trình hệ thống hợp pháp và xóa các nhật ký tấn công. Điều này làm cho việc điều tra và truy vết trở nên cực kỳ phức tạp.

Các tổ chức trong các lĩnh vực quốc phòng, tài chính, năng lượng và blockchain đối mặt với rủi ro cao nhất từ mối đe dọa này. Khả năng gây ra thiệt hại nghiêm trọng của cuộc tấn công mạng này là rất lớn.

Việc tăng cường các biện pháp phòng thủ an ninh mạng, đặc biệt là đối với các lỗ hổng zero-day, là vô cùng cấp thiết cho các tổ chức trong các ngành nghề này.