Một nhóm tin tặc đã được phát hiện triển khai chiến dịch tuyển dụng giả mạo tinh vi nhằm phân phối mã độc tùy chỉnh lên các nạn nhân. Nhóm này, được biết đến với tên gọi Nimbus Manticore, có lịch sử nhắm mục tiêu vào các chuyên gia trong lĩnh vực hàng không vũ trụ và quốc phòng tại Trung Đông và Châu Âu. Chiến dịch mới nhất cho thấy sự gia tăng đáng kể về mức độ phức tạp kỹ thuật, kết hợp kỹ thuật xã hội với chuỗi phân phối mã độc nhiều giai đoạn khó phát hiện, là một ví dụ điển hình về các mối đe dọa mạng mới nổi.
Chiến dịch tuyển dụng giả mạo
Các kẻ tấn công bắt đầu bằng cách tiếp cận các nhân viên tiềm năng trên LinkedIn thông qua hồ sơ nhà tuyển dụng giả mạo nhưng thuyết phục. Đối tượng giả danh là người đứng đầu bộ phận tuyển dụng cho Ebix, một công ty công nghệ bảo hiểm và ngân hàng có thật, và đưa ra mức lương hấp dẫn lên tới 200.000 USD để tăng sức hút.
Nạn nhân sau đó được hướng dẫn truy cập một cổng tuyển dụng giả mạo tại nebix[.]recruitment-flow[.]com. Trang web này yêu cầu thông tin đăng nhập trước khi hiển thị bất kỳ nội dung độc hại nào.
Kỹ thuật lây nhiễm qua sideloading
Các nhà phân tích tại Nextron đã xác định được chuỗi lây nhiễm qua kỹ thuật sideloading phức tạp này trong một cuộc điều tra sự cố gần đây. Họ đã quy kết hoạt động này cho nhóm Nimbus Manticore với độ tin cậy cao.
Báo cáo từ Nextron cho biết, phương thức hoạt động cốt lõi của nhóm này vẫn duy trì sự nhất quán đáng kể qua các chiến dịch, ngay cả khi các công cụ và payload riêng lẻ có sự thay đổi. Các nhà điều hành đã phát triển kỹ thuật của họ trong khi vẫn giữ nguyên các mẫu cơ bản.
Sau khi đăng nhập vào cổng thông tin giả mạo, nạn nhân được yêu cầu tải xuống một ứng dụng xác thực hai yếu tố (2FA) giả mạo dưới dạng một tệp lưu trữ ZIP. Ứng dụng này chứa mã độc thực sự.
Toàn bộ quy trình được thiết kế để trông có vẻ bình thường, nhằm giảm cảnh giác của nạn nhân trước khi payload có cơ hội thực thi. Kỹ thuật này làm giảm khả năng phát hiện xâm nhập theo cách thông thường.
Phân tích mã độc và kỹ thuật lừa đảo
Tệp ZIP chứa một tệp có tên setup.exe, là một thành phần của Microsoft Visual Studio đã được đổi tên và ký hợp lệ bởi Microsoft. Kẻ tấn công đã sửa đổi tệp cấu hình của nó để đánh lừa .NET runtime tải một thư viện độc hại có tên TOTPGuard.dll thay vì thực thi theo quy trình thông thường.
Kỹ thuật này, được gọi là AppDomain hijacking, cho phép tiến trình ban đầu có vẻ sạch sẽ và khó kích hoạt các cảnh báo bảo mật tiêu chuẩn.
Sau khi nạn nhân chạy setup.exe, một giao diện Ebix giả mạo thuyết phục sẽ hiển thị, yêu cầu nhập khóa bí mật và sau đó là một trình tạo mật khẩu dùng một lần (OTP) đang hoạt động. Ứng dụng giả lập hoạt động như một công cụ thật, khiến nạn nhân khó nghi ngờ điều gì bất thường.
Phía sau hậu trường, mã độc giải mã payload nhúng bằng các khóa AES được mã hóa cứng và lưu trữ nó vào đĩa tại một đường dẫn trong thư mục AppData của người dùng. Sau đó, mã độc tạo một tác vụ theo lịch trình có tên “BackupCheck” để chạy mỗi khi đăng nhập, đảm bảo sự tồn tại dai dẳng trên máy bị nhiễm.
Payload chính, được lưu dưới dạng main.dll, giao tiếp với các máy chủ chỉ huy và kiểm soát (C2) được lưu trữ trên Microsoft Azure. Việc sử dụng nền tảng đám mây đáng tin cậy giúp mã độc hòa mình vào lưu lượng mạng thông thường của nhiều tổ chức, làm tăng rủi ro bảo mật.
Các tên miền C2 sử dụng tên nghe có vẻ vô hại, phù hợp với chủ đề chiến dịch tuyển dụng, khiến chúng dễ bị bỏ qua trong quá trình xem xét nhanh.
Biện pháp phòng chống và giảm thiểu rủi ro
Các chuyên gia bảo mật khuyến cáo một số bước cụ thể để giảm thiểu nguy cơ bị tấn công loại này. Các tổ chức nên chặn hoặc hạn chế quyền truy cập vào các tên miền mới đăng ký, đặc biệt là trong các bộ phận nhạy cảm như nhân sự, tài chính và pháp lý.
Sử dụng Windows AppLocker để ngăn chặn việc thực thi từ các thư mục có thể ghi của người dùng như AppData và Temp có thể giảm đáng kể khả năng các payload được dàn dựng chạy thành công. Việc triển khai các chính sách hạn chế ứng dụng là một biện pháp quan trọng để bảo vệ hệ thống.
Đào tạo nhận thức về an ninh mạng cần được mở rộng ra ngoài các cuộc tấn công phishing qua email để bao gồm các nền tảng mạng xã hội và các kênh tuyển dụng trực tuyến, nơi nhóm này đã chứng tỏ sự hoạt động tích cực. Nâng cao nhận thức về các kỹ thuật lừa đảo mới là chìa khóa để tăng cường an ninh mạng.
Các chỉ số xâm phạm (IoCs)
- Domains: ebix[.]recruitment-flow[.]com
- File Names: setup.exe, TOTPGuard.dll, main.dll
- Scheduled Task Name: BackupCheck
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để ngăn chặn phân giải hoặc liên kết tự động. Chỉ khôi phục định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Để phòng chống hiệu quả, việc phân tích các lỗ hổng CVE liên quan và áp dụng các bản vá bảo mật kịp thời là vô cùng cần thiết. Theo dõi các cảnh báo bảo mật mới nhất từ các nguồn uy tín như CISA hoặc NVD sẽ giúp tổ chức bạn cập nhật các mối đe dọa và biện pháp phòng ngừa mới nhất.
Một nguồn tham khảo hữu ích cho các kỹ thuật phát hiện và phân tích các chuỗi tấn công sideloading như thế này có thể tìm thấy tại Nextron Systems.
