Một cuộc điều tra hợp tác sâu rộng giữa Mauro Eldritch của BCA LTD, ANYRUN và NorthScan đã mang lại cái nhìn chưa từng có về cách các tác nhân đe dọa từ Lazarus Group tuyển dụng và vận hành các chiến dịch chống lại các công ty phương Tây. Các nhà nghiên cứu đã ghi lại toàn bộ chu trình tấn công mạng theo thời gian thực, bao gồm cả cảnh quay trực tiếp về việc những kẻ tấn công sử dụng các hệ thống bị xâm nhập. Phát hiện đột phá này phơi bày khía cạnh con người trong một trong những hoạt động gián điệp mạng tinh vi nhất thế giới.

Chiến Lược Tuyển Dụng và Thâm Nhập của Lazarus Group

Cuộc điều tra bắt đầu khi một nhà tuyển dụng của Lazarus Group, được biết đến với biệt danh “Blaze” và tên Aaron, tiếp cận các nhà nghiên cứu với một đề nghị hấp dẫn. Các tác nhân đe dọa đưa ra mức lương 35% để đổi lấy quyền truy cập vào các máy tính xách tay với mục đích “làm việc”, một cách nói uyển chuyển nhằm thâm nhập vào các tổ chức mục tiêu.

Thay vì từ chối, nhóm bảo mật đã cung cấp các môi trường được ANYRUN cô lập (sandboxed environments). Các môi trường này được thiết kế để mô phỏng máy tính làm việc hợp pháp, đồng thời ghi lại mọi hoạt động của kẻ tấn công. Điều này cho phép quan sát chi tiết mà không làm lộ thông tin nhạy cảm của các nhà nghiên cứu.

Quy Trình Tấn Công Famous Chollima được Ghi Nhận Trực Tiếp

Trong nhiều tháng nằm trong quy trình tuyển dụng giả mạo của Lazarus Group, các nhà nghiên cứu đã ghi lại một cách chi tiết cái mà họ mô tả là chu trình tấn công Famous Chollima hoàn chỉnh. Đây là phương pháp gồm nhiều giai đoạn mà nhóm này sử dụng để thực hiện các hoạt động mạng.

Các đoạn ghi hình đã ghi lại cảnh những kẻ tấn công đang làm việc tích cực trên các hệ thống được cung cấp. Những hình ảnh này cung cấp cái nhìn cận cảnh về các công cụ, chiến thuật hoạt động và các mô hình nhắm mục tiêu cụ thể của chúng. Đây là trường hợp đầu tiên được ghi nhận về việc các tác nhân của Lazarus Group bị quay phim khi đang thực hiện các hoạt động chuẩn bị tấn công thực tế.

Phân tích các đoạn phim này cho thấy sự tinh vi trong việc lựa chọn và triển khai các công cụ. Các tác nhân đe dọa thường sử dụng các tiện ích dòng lệnh tiêu chuẩn và phần mềm hợp pháp để pha trộn vào môi trường mục tiêu, làm cho việc phát hiện trở nên khó khăn hơn đối với các hệ thống an ninh mạng thông thường.

Kỹ Thuật An Toàn Tác Chiến và Sự Tiến Hóa của Mối Đe Dọa Mạng

Cuộc điều tra cũng hé lộ các phương pháp bảo mật tác chiến (operational security – OpSec) tinh vi được sử dụng song song với việc lừa đảo tuyển dụng. Các tác nhân đe dọa thể hiện sự quen thuộc với các kỹ thuật né tránh phát hiện phổ biến và dường như nhận thức được các chỉ số honeypot điển hình. Mặc dù vậy, môi trường cô lập vẫn duy trì được sự tin tưởng của chúng trong suốt quá trình hoạt động.

Việc Lazarus Group ngày càng phụ thuộc vào việc tuyển dụng nội bộ đại diện cho một sự tiến hóa quan trọng trong phương pháp tấn công của chúng. Thay vì chỉ thực hiện các hoạt động từ xa, nhóm này tích cực tìm kiếm các vị trí làm việc hợp pháp hoặc quan hệ đối tác để tạo điều kiện truy cập mạng. Chiến thuật này làm mờ ranh giới của các giả định phòng thủ chu vi truyền thống.

Cách tiếp cận tuyển dụng này cho thấy các hoạt động mạng của nhóm đang mở rộng. Chúng không chỉ tập trung vào các lỗ hổng zero-day và các cuộc tấn công chuỗi cung ứng đã được ghi nhận trước đây. Thay vào đó, chúng đang khai thác yếu tố con người và các quy trình kinh doanh hợp pháp như một vector tấn công hiệu quả.

Để biết thêm chi tiết về các chiến thuật tương tự được sử dụng bởi các tác nhân đe dọa liên kết với Lazarus Group, có thể tham khảo khuyến nghị bảo mật của CISA về việc sử dụng kỹ thuật xã hội để đánh cắp tiền điện tử, minh họa sự đa dạng trong các chiến lược lừa đảo của nhóm này.

Khuyến Nghị và Nhận Diện Nguy Cơ Bảo Mật

Các nhà nghiên cứu bảo mật và chuyên gia phòng thủ doanh nghiệp cần nhận ra rằng các tin tuyển dụng và lời mời làm việc từ các vị trí kỹ thuật không quen thuộc cần được xác minh cẩn thận, đặc biệt trong các lĩnh vực nhạy cảm. Cuộc điều tra nhấn mạnh cách các tác nhân đe dọa sử dụng các quy trình tuyển dụng hợp pháp làm các vector tấn công.

Phân tích này cũng đã ghi nhận việc sử dụng các bí danh khác nhau, bao gồm “Jesús Sebastián”, trong quá trình tuyển dụng giả mạo, cho thấy nỗ lực của kẻ tấn công nhằm che giấu danh tính và nguồn gốc.

Nghiên cứu hợp tác giữa BCA LTD, ANYRUN và NorthScan (đứng đầu bởi @0xfigo) là một đóng góp đáng kể. Nó giúp hiểu rõ hơn về cơ sở hạ tầng và phương pháp hoạt động của Lazarus Group. Việc phân tích chuyên sâu này là cần thiết để phát triển các chiến lược phòng thủ hiệu quả hơn trước các mối đe dọa mạng đang phát triển.

Đây là một câu chuyện đang tiếp diễn; các chỉ số kỹ thuật từ cuộc điều tra dự kiến sẽ được công bố trong thời gian tới. Việc chia sẻ các Indicators of Compromise (IOCs) sẽ là rất quan trọng để cộng đồng bảo mật có thể tăng cường khả năng phát hiện và phòng thủ.