Phân Tích Chiến Dịch APT: Tin Tặc Bắc Triều Tiên Triển Khai Malware Thông Qua Calendly Bị Vũ Khí Hóa
Tổng Quan
Nhóm mối đe dọa dai dẳng cấp cao (APT) của Bắc Triều Tiên, được biết đến với tên gọi BlueNoroff (còn gọi là Sapphire Sleet hoặc TA444), đã được ghi nhận thực hiện một cuộc tấn công đa nền tảng tinh vi nhắm vào các công ty tiền điện tử. Cuộc tấn công khai thác các lời mời Calendly bị vũ khí hóa, công nghệ deepfake trong các cuộc gọi Zoom, và malware trên macOS để xâm nhập hệ thống của nạn nhân một cách kín đáo.
Thông Tin Về Tác Nhân Đe Dọa
- Tên gọi: BlueNoroff / Sapphire Sleet / TA444
- Nguồn gốc: Bắc Triều Tiên
- Lĩnh vực mục tiêu: Các công ty tiền điện tử, nhân viên trong lĩnh vực Web3
Phương Thức Tấn Công và TTPs
Chiến dịch này sử dụng một quy trình tấn công nhiều giai đoạn, kết hợp kỹ thuật social engineering và triển khai mã độc. Dưới đây là các bước chính trong phương thức tấn công:
- Liên Lạc Ban Đầu Qua Telegram
Nạn nhân nhận được tin nhắn từ một liên hệ bên ngoài trên Telegram, đề nghị sắp xếp một cuộc họp. Tin tặc gửi một liên kết Calendly để đặt lịch cho cuộc họp.
- Liên Kết Calendly Bị Vũ Khí Hóa
Lời mời Calendly được thiết lập cho một sự kiện Google Meet. Khi nhấp vào, URL chuyển hướng người dùng đến một domain Zoom giả mạo do tin tặc kiểm soát.
- Cuộc Họp Zoom Sử Dụng Deepfake
Sau vài tuần tương tác, nạn nhân tham gia một cuộc gọi nhóm Zoom, thoạt nhìn có vẻ hợp pháp. Cuộc gọi sử dụng video và âm thanh deepfake, giả dạng các lãnh đạo cấp cao tại công ty của nạn nhân cùng các liên hệ bên ngoài khác.
- Triển Khai Malware Qua Tiện Ích Zoom Giả Mạo
Khi nạn nhân báo cáo vấn đề về mic trong cuộc gọi, các nhân vật tổng hợp (synthetic personas) hướng dẫn họ tải xuống và cài đặt một “tiện ích Zoom” để khắc phục sự cố. Tiện ích này được gửi qua Telegram dưới dạng tệp AppleScript có tên:
zoom_sdk_support.scpt - Thực Thi Payload Độc Hại
Khi chạy, tệp
zoom_sdk_support.scptsẽ mở một trang web chính thức của Zoom Software Development Kit (SDK). Đồng thời, nó âm thầm tải xuống và thực thi các payload bổ sung từ:support[.]us05web-zoom[.]biz - Đặc Điểm Payload
Payload giai đoạn tiếp theo được thực thi thông qua shell script trên các thiết bị macOS, cho thấy đây là malware nhắm mục tiêu macOS, phù hợp với các chiến thuật đã biết của BlueNoroff.
Các Nền Tảng và Hạ Tầng Bị Khai Thác
Dưới đây là các nền tảng và dịch vụ được sử dụng trong cuộc tấn công, cùng vai trò của chúng:
| Nền tảng/Dịch vụ | Vai trò trong cuộc tấn công |
|---|---|
| Telegram | Kênh liên lạc ban đầu; phương tiện truyền tải liên kết và script độc hại |
| Calendly | Dùng để đặt lịch cuộc họp; cơ chế chuyển hướng bị vũ khí hóa |
| Google Meet | Dịch vụ hợp pháp được dùng trong lời mời ban đầu |
| Domain Zoom giả mạo | Do tin tặc kiểm soát; tổ chức các cuộc họp deepfake |
| support.us05web-zoom.biz | Máy chủ từ xa lưu trữ payload giai đoạn tiếp theo |
Indicators of Compromise (IOCs)
Dưới đây là các chỉ số liên quan đến cuộc tấn công, được trích xuất và định dạng để hỗ trợ phân tích và phát hiện:
Tên Tệp:
zoom_sdk_support.scpt– Tệp AppleScript độc hại giả mạo công cụ hỗ trợ SDK hợp pháp
URLs/Domains:
support.us05web-zoom.biz– Máy chủ lưu trữ payload độc hại giai đoạn tiếp theo
Ánh Xạ Kỹ Thuật Theo Khung MITRE ATT&CK
Các kỹ thuật được sử dụng trong chiến dịch này được ánh xạ với khung MITRE ATT&CK như sau:
- Initial Access: Spearphishing via Service (T1566) thông qua social engineering bằng tin nhắn Telegram với liên kết bị vũ khí hóa.
- Execution: User Execution (T1204) khi nạn nhân tự chạy các tệp AppleScript độc hại.
- Defense Evasion: Kết hợp trang web hợp pháp với script độc hại (T1036 – Masquerading).
Tóm Tắt Chi Tiết Kỹ Thuật
Cuộc tấn công này nhắm vào nhân viên các công ty tiền điện tử thông qua một chuỗi các bước tinh vi, từ liên lạc ban đầu trên Telegram, sử dụng Calendly để chuyển hướng đến domain Zoom giả mạo, đến triển khai malware macOS qua AppleScript và shell script. Các kỹ thuật này phù hợp với chiến thuật của nhóm APT BlueNoroff, nhấn mạnh sự kết hợp giữa social engineering và công nghệ deepfake trong các cuộc họp video.
