Trong hai năm qua, Fox-IT và NCC Group đã theo dõi sát sao một phân nhóm tinh vi của nhóm APT **mối đe dọa mạng Lazarus**, chuyên nhắm mục tiêu vào các công ty tài chính và tiền điện tử. Nhóm này trùng lặp với các chiến dịch AppleJeus, Citrine Sleet, UNC4736 và Gleaming Pisces, sử dụng ba loại mã độc truy cập từ xa (RAT) riêng biệt—PondRAT, ThemeForestRAT và RemotePE—để xâm nhập và kiểm soát các hệ thống bị xâm phạm.

Một sự cố phản ứng an ninh mạng vào giữa năm 2024 đã minh họa rõ nét các chiến thuật, kỹ thuật và quy trình (TTPs) tiên tiến của nhóm này thông qua một cuộc tấn công nhiều giai đoạn.

Chiến Dịch Tấn Công Tài Chính Của Nhóm Lazarus

Nhóm **mối đe dọa mạng Lazarus** này liên tục phát triển và điều chỉnh TTPs của mình để đạt được mục tiêu xâm nhập sâu vào các tổ chức tài chính. Sự trùng lặp với các chiến dịch lớn cho thấy khả năng liên kết hoặc hợp tác trong hệ sinh thái tội phạm mạng của nhóm.

Diễn Biến Vụ Tấn Công Năm 2024

Vào giữa năm 2024, một nhân viên tại một công ty tài chính phi tập trung đã bị kẻ tấn công lừa đảo thông qua một cuộc trò chuyện Telegram, giả mạo đồng nghiệp. Nạn nhân được dẫn đến một trang web cuộc họp giả mạo, đây là bước khởi đầu cho cuộc tấn công.

Ngay sau đó, **mã độc RAT** PondRAT đã được triển khai trên máy tính Windows của nạn nhân. Phân tích pháp y cho thấy sự giảm đột ngột trong nhật ký điểm cuối, phù hợp với một **lỗ hổng zero-day** khả nghi trên Chrome. Điều này cho phép thực thi mã mà không bị phát hiện.

Trong ba tháng tiếp theo, kẻ tấn công đã thu thập thông tin đăng nhập và dữ liệu cấu trúc mạng bằng cách sử dụng PondRAT. Chúng kết hợp mã độc này với các công cụ tùy chỉnh như screenshotter, keylogger, browser dumper và các tiện ích công cộng như Mimikatz và Fast Reverse Proxy client.

Sau giai đoạn trinh sát, kẻ tấn công đã xóa các dấu vết của PondRAT và ThemeForestRAT, sau đó cài đặt một **mã độc RAT** nâng cao hơn có tên RemotePE. Động thái này nhằm duy trì quyền truy cập sâu hơn đối với các mục tiêu có giá trị cao.

Các Giai Đoạn Chuỗi Tấn Công

Chuỗi tấn công được nhóm **mối đe dọa mạng Lazarus** này thực hiện bao gồm bốn giai đoạn chính, thể hiện sự lập kế hoạch và thực hiện tinh vi:

• Kỹ thuật xã hội (Social Engineering): Lừa nạn nhân truy cập trang web độc hại thông qua tin nhắn giả mạo.
• Khai thác (Exploitation): Khai thác **lỗ hổng zero-day** (khả nghi) để thực thi mã độc ban đầu.
• Khám phá (Discovery): Thu thập thông tin đăng nhập và cấu trúc mạng bằng các công cụ tùy chỉnh và công khai.
• Triển khai giai đoạn tiếp theo (Next-stage Deployment): Thay thế mã độc ban đầu bằng **mã độc RAT** phức tạp hơn để duy trì quyền truy cập.

PondRAT: Loader Ban Đầu

PondRAT, được gọi là “firstloader” trong các mẫu macOS, xuất hiện lần đầu vào năm **2021**. Nó đã được liên kết với các chiến dịch AppleJeus và phân phối thông qua PyPI.

Mã độc này giao tiếp với một máy chủ chỉ huy và kiểm soát (C2) được mã hóa cứng qua HTTPS. Các thông điệp được mã hóa bằng XOR rồi Base64. Các lệnh của PondRAT bao gồm từ thao tác tệp I/O, thực thi quy trình, tải PE trong bộ nhớ đến tiêm shellcode. Để biết thêm chi tiết kỹ thuật về PondRAT và các RAT khác, bạn có thể tham khảo tại bài viết chuyên sâu của Fox-IT.

PondRAT có nhiều điểm tương đồng với họ POOLRAT/SimpleTea cũ hơn, bao gồm các khóa XOR giống hệt nhau, tên hàm và cách nối mã trạng thái. Nó cũng chia sẻ một sơ đồ tạo ID bot đặc biệt và quy trình xóa tệp an toàn, ghi đè và đổi tên các tệp tạm thời nhiều lần để tránh phục hồi.

Không giống như POOLRAT, PondRAT thiếu chức năng timestomping và tệp cấu hình C2, điều này có thể phản ánh vai trò của nó như một loader nhẹ trong các cuộc tấn công ban đầu của **mối đe dọa mạng Lazarus**.

ThemeForestRAT: Mã Độc Kiểm Soát Bền Vững

ThemeForestRAT đã tránh được phân tích công khai mặc dù đã được sử dụng ít nhất **sáu năm**. Mã độc này thường được tải vào bộ nhớ, thường thông qua PondRAT, và hỗ trợ hơn **hai mươi lệnh**. Các lệnh này bao gồm xóa tệp an toàn, timestomping, gọi lại kích hoạt RDP và tiêm shellcode trong tiến trình.

Trên hệ điều hành Windows, ThemeForestRAT tạo ra hai luồng: một luồng (cũ) tạo một thư mục tạm thời có tên **Z802056** và luồng còn lại giám sát các phiên console và RDP để tùy chọn thực thi các lệnh đã cấu hình. Cấu hình được lưu trữ trong tệp **netraid.inf** (dung lượng **43 KB**, được mã hóa RC4), xác định các URL C2, khoảng thời gian ngủ đông và các lệnh console tùy chọn.

Giao thức C2 của nó sử dụng chuyển tệp HTTP(S) với các tiền tố **“ThemeForest_”** và **“Thumb_”**. ThemeForestRAT chia sẻ các tính năng thiết kế cốt lõi với RomeoGolf RAT từ năm 2013—hai luồng tín hiệu, timestomping tệp cấu hình và các quy trình ID duy nhất—cho thấy sự kế thừa mã trong nhóm **mối đe dọa mạng Lazarus**. Mặc dù đây là một giao thức C2 khác, việc hiểu cách các RAT sử dụng giao thức này là rất quan trọng, bạn có thể tham khảo thêm về các cải tiến giao thức C2 trong bài viết của Gbhackers.

Chức năng phát hiện và sao chép dữ liệu từ các ổ đĩa logic mới được gắn đã bị loại bỏ trong ThemeForestRAT, trong khi chức năng tạo thư mục tạm thời vẫn còn nguyên vẹn.

RemotePE: RAT Cao Cấp Cho Mục Tiêu Giá Trị Cao

Khi đã có được chỗ đứng vững chắc trong môi trường mục tiêu, kẻ tấn công đã thay thế các **mã độc RAT** đơn giản hơn bằng RemotePE. Mã độc này được truy xuất thông qua một loader được bảo vệ bằng DPAPI, có khả năng chống lại việc phục hồi dữ liệu từ đĩa. RemotePE là một **mã độc RAT** dựa trên C++ với bảo mật hoạt động nâng cao, bao gồm quy trình dọn dẹp đổi tên tệp tinh vi, phản ánh phương pháp của PondRAT.

Bằng chứng về việc triển khai RemotePE đánh dấu sự chuyển đổi của kẻ tấn công sang một giai đoạn thứ hai yên tĩnh và có năng lực hơn, được cho là dành riêng cho các nạn nhân có giá trị cao. Đây là chiến lược điển hình của các nhóm APT như **mối đe dọa mạng Lazarus**.

Chỉ Số Đe Dọa (IoCs)

Dựa trên các kỹ thuật được mô tả trong cuộc tấn công của **mối đe dọa mạng Lazarus**, các chỉ số thỏa hiệp có thể được trích xuất để hỗ trợ phát hiện và phòng ngừa:

• Tên thư mục/tệp:
  • `Z802056` (Thư mục tạm thời do ThemeForestRAT tạo)
  • `netraid.inf` (Tệp cấu hình của ThemeForestRAT)
• Mẫu giao thức C2:
  • Giao tiếp HTTPS (PondRAT)
  • Chuyển tệp HTTP(S) với tiền tố `ThemeForest_` và `Thumb_` (ThemeForestRAT)
• Tên mã độc:
  • PondRAT
  • ThemeForestRAT
  • RemotePE
• Công cụ được sử dụng:
  • Mimikatz
  • Fast Reverse Proxy client (frp)

Khuyến Nghị Phòng Ngừa

Việc nhóm **mối đe dọa mạng Lazarus** kiên trì sử dụng kỹ thuật xã hội, khai thác **lỗ hổng zero-day** khả nghi và chuỗi **mã độc RAT** tùy chỉnh cho thấy khả năng thích ứng và tài nguyên dồi dào của chúng. Các tổ chức trong lĩnh vực tài chính và tiền điện tử cần tăng cường **an ninh mạng** và hệ thống phòng thủ của mình.

Bằng cách hiểu rõ các TTPs của PondRAT, ThemeForestRAT và RemotePE, các nhà bảo vệ có thể dự đoán các động thái tiếp theo của kẻ tấn công và củng cố mạng lưới của mình chống lại **mối đe dọa mạng Lazarus** kiên quyết này. Việc liên tục cập nhật bản vá, đào tạo nâng cao nhận thức về an toàn thông tin và triển khai các giải pháp phát hiện xâm nhập tiên tiến là những biện pháp thiết yếu.