Chiến Dịch Spear Phishing của APT37: Phân Tích Kỹ Thuật và Bảo Mật Hệ Thống

13/05/2025
3 mins read
Nội dung
Chiến Dịch Spear Phishing của Nhóm Tin Tặc APT37: Phân Tích Kỹ Thuật và Giải Pháp Bảo Mật
Các Phát Hiện Chính Về Chiến Dịch của APT37
Ý Nghĩa Thực Tiễn và Giải Pháp Bảo Mật
Hướng Dẫn Kỹ Thuật Chi Tiết
1. Theo Dõi Hoạt Động PowerShell
2. Chặn Thực Thi Các Loại Tệp Đáng Ngờ
3. Quy Trình Phát Hiện và Ngăn Chặn
Thông Tin Bổ Sung Từ Các Nguồn Tình Báo
Kết Luận

Chiến Dịch Spear Phishing của Nhóm Tin Tặc APT37: Phân Tích Kỹ Thuật và Giải Pháp Bảo Mật

Nhóm tin tặc APT37, còn được gọi là ScarCruft, được cho là có liên kết với nhà nước Bắc Triều Tiên, đã thực hiện một chiến dịch spear phishing nhắm đến các nhà hoạt động trong thời gian gần đây. Bài viết này sẽ phân tích chi tiết các chiến thuật được sử dụng, các thành phần malware liên quan, cùng với những giải pháp thực tiễn và hướng dẫn kỹ thuật giúp các chuyên gia IT và tổ chức bảo vệ hệ thống trước các mối đe dọa tương tự.

Các Phát Hiện Chính Về Chiến Dịch của APT37

  • Spear Phishing nhắm mục tiêu cụ thể: APT37 đã triển khai một chiến dịch spear phishing sử dụng các tệp LNK (shortcut) được vũ khí hóa và nền tảng Dropbox nhằm phát tán malware đến các nhà hoạt động.
  • Phương thức phát tán malware: Các tin nhắn phishing chứa tệp *.LNK giả mạo tài liệu Office. Khi người dùng mở tệp, các lệnh PowerShell hoặc Mshta sẽ được thực thi để tải về các malware như PebbleDash và RDP Wrapper.
  • Thành phần malware chính:
    • PebbleDash: Một thành phần malware dùng để tải và thực thi các payload bổ sung.
    • RDP Wrapper: Một phiên bản RDP Wrapper tùy chỉnh cho phép truy cập từ xa qua Remote Desktop, có thể đã được chỉnh sửa các hàm export để né tránh phát hiện.
  • Proxy malware: Nhóm tin tặc sử dụng proxy malware để thiết lập truy cập từ bên ngoài vào các hệ thống bị nhiễm trong mạng nội bộ.

Ý Nghĩa Thực Tiễn và Giải Pháp Bảo Mật

Chiến dịch của APT37 nhấn mạnh vai trò của các kỹ thuật social engineering trong việc lừa người dùng thực thi các tệp độc hại. Dưới đây là một số biện pháp thực tiễn mà các tổ chức và chuyên gia bảo mật có thể áp dụng:

  • Nâng cao nhận thức người dùng: Đào tạo nhân viên về các dấu hiệu của phishing và cách nhận diện các tệp hoặc liên kết đáng ngờ, đặc biệt là các tệp *.LNK hoặc liên kết Dropbox không rõ nguồn gốc.
  • Giảm bề mặt tấn công: Áp dụng các quy tắc attack surface reduction (ASR) để hạn chế thực thi các tệp từ nguồn không đáng tin cậy và giám sát việc sử dụng PowerShell hoặc Mshta bất thường.
  • Giám sát lưu lượng mạng: Theo dõi các kết nối RDP bất thường để phát hiện proxy malware hoặc hoạt động truy cập từ xa không được ủy quyền.

Hướng Dẫn Kỹ Thuật Chi Tiết

Dưới đây là các lệnh CLI, đoạn mã và hướng dẫn từng bước để hỗ trợ phát hiện và ngăn chặn các mối đe dọa từ chiến dịch của APT37:

1. Theo Dõi Hoạt Động PowerShell

Để giám sát việc thực thi PowerShell, bạn có thể sử dụng lệnh sau trong Windows Event Viewer nhằm phát hiện các hoạt động bất thường:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-PowerShell/Operational';ID=4104} | Select-Object TimeCreated,Id,Message

2. Chặn Thực Thi Các Loại Tệp Đáng Ngờ

Sử dụng Group Policy để thiết lập các chính sách hạn chế đường dẫn và chặn thực thi các loại tệp như *.LNK từ nguồn không đáng tin cậy. Điều này có thể được cấu hình trong Group Policy Editor dưới mục Computer Configuration → Policies → Administrative Templates → System.

3. Quy Trình Phát Hiện và Ngăn Chặn

  • Giám sát lưu lượng mạng: Sử dụng các công cụ như Wireshark để theo dõi lưu lượng mạng và phát hiện các kết nối RDP bất thường.
  • Triển khai kiểm soát truy cập: Đảm bảo chỉ có người dùng được ủy quyền mới có thể sử dụng kết nối RDP.
  • Bật ghi nhật ký sự kiện: Kích hoạt ghi nhật ký cho các hoạt động PowerShell để phát hiện hành vi đáng ngờ.
  • Chặn tệp độc hại: Sử dụng Group Policy để ngăn chặn thực thi các tệp *.LNK hoặc các loại tệp tương tự từ nguồn không xác định.

Thông Tin Bổ Sung Từ Các Nguồn Tình Báo

Các nguồn tình báo bảo mật khác cũng đã ghi nhận các hoạt động tương tự từ các nhóm APT liên quan đến Bắc Triều Tiên:

  • Microsoft Threat Intelligence: Nhóm APT Emerald Sleet đã được ghi nhận sử dụng PowerShell để đăng ký thiết bị của nạn nhân và trích xuất dữ liệu.
  • AhnLab Security Intelligence Center (ASEC): Nhóm Kimsuky APT đang thực hiện các cuộc tấn công spear phishing để phát tán malware đánh cắp thông tin forceCopy, với chiến thuật tương tự APT37.

Kết Luận

Chiến dịch spear phishing của APT37 là một ví dụ điển hình về các cuộc tấn công mạng tinh vi, tận dụng các tệp LNK được vũ khí hóa và nền tảng như Dropbox để phát tán malware. Các tổ chức cần ưu tiên đào tạo người dùng, triển khai các biện pháp bảo mật mạnh mẽ, và liên tục giám sát lưu lượng mạng để giảm thiểu nguy cơ trở thành nạn nhân của các mối đe dọa này. Việc áp dụng các giải pháp và hướng dẫn kỹ thuật nêu trên sẽ giúp các chuyên gia IT xây dựng một hệ thống phòng thủ hiệu quả hơn trước các chiến dịch tương tự trong tương lai.