Các chiến dịch gián điệp mạng nhằm vào các công ty Nhật Bản đã gia tăng đáng kể trong năm tài khóa 2024 (từ tháng 4/2024 đến tháng 3/2025), theo phân tích chuyên sâu được công bố bởi Trung tâm Nghiên cứu An ninh của Macnica.
Mục tiêu chính của các chiến dịch này là đánh cắp dữ liệu nhạy cảm, bao gồm bản thiết kế sản xuất, tài liệu liên quan đến chính sách và thông tin cá nhân. Kể từ khi bắt đầu giám sát vào năm 2014, trung tâm đã ghi nhận sự leo thang rõ rệt trong các hoạt động được cho là do các tác nhân đe dọa từ Triều Tiên thực hiện, những nhóm này đã tăng cường hoạt động so với các năm trước.
Mục tiêu và Động cơ Khai thác
Các nhóm tấn công đã nhắm mục tiêu một cách quyết liệt vào các nhà phát triển phần mềm thông qua các mã độc như BeaverTail và InvisibleFerret. Các mã độc này tạo điều kiện thuận lợi cho việc thâm nhập ban đầu và duy trì quyền truy cập dai dẳng trong mạng lưới mục tiêu. Ngoài ra, việc triển khai backdoor RokRAT đã trở nên phổ biến. RokRAT cho phép đối tượng tấn công chuyển dữ liệu đánh cắp đến các dịch vụ lưu trữ đám mây hợp pháp, từ đó hòa trộn lưu lượng độc hại với các hoạt động hợp pháp để tránh bị phát hiện bởi các hệ thống an ninh truyền thống.
Sự gia tăng hoạt động này phù hợp với động cơ tài chính rộng lớn hơn của các tác nhân đe dọa. Sự phát triển từ các vụ khai thác lịch sử, như các cuộc tấn công vào mạng lưới SWIFT năm 2016 nơi các tác nhân Triều Tiên dàn dựng các vụ chuyển tiền bất hợp pháp quy mô lớn từ các tổ chức tài chính, đã chuyển sang các kế hoạch đương đại tập trung vào các hệ sinh thái tiền điện tử. Các sự cố gần đây bao gồm việc xâm nhập vào môi trường nhà phát triển để truy cập các ví trao đổi tiền điện tử, dẫn đến các vụ trộm tiền điện tử trái phép. Các chiến thuật như vậy nhấn mạnh sự dịch chuyển sang các hoạt động có giá trị cao nhưng tầm nhìn thấp, tận dụng kỹ thuật xã hội và các lỗ hổng chuỗi cung ứng để đạt được mục tiêu tài chính.
Kỹ thuật Tấn công Ban đầu và Lây nhiễm
Khai thác Kỹ thuật Xã hội và Spear Phishing
Báo cáo nhấn mạnh một loạt các vector xâm nhập đa dạng, trong đó spear phishing vẫn là kỹ thuật truy cập ban đầu chủ đạo. Các email spear phishing thường ngụy trang dưới dạng thông tin liên lạc hợp pháp, sử dụng các chủ đề hấp dẫn để lừa nạn nhân mở tệp đính kèm độc hại hoặc nhấp vào liên kết dẫn đến việc phân phối các payload mã độc.
Ngoài phishing qua email, có sự gia tăng đáng kể trong các khai thác kỹ thuật xã hội thông qua các nền tảng mạng xã hội chuyên nghiệp như LinkedIn. Tại đây, các tin nhắn được tùy chỉnh riêng cho từng mục tiêu, thường là các nhà phát triển hoặc cá nhân có quyền truy cập vào các hệ thống nhạy cảm, lôi kéo họ thực thi mã độc hoặc tiết lộ thông tin xác thực.
Khai thác Tài sản Lộ Thiên và Lây nhiễm qua USB
Các vụ xâm nhập qua các tài sản bị lộ thiên ra bên ngoài, như máy chủ web dễ bị tổn thương hoặc API cấu hình sai, cũng đã tăng mạnh. Các lỗ hổng trong các thiết bị và dịch vụ này cung cấp cho kẻ tấn công các điểm tựa để thiết lập sự hiện diện ban đầu và thực hiện di chuyển ngang trong mạng nội bộ của nạn nhân.
Lây nhiễm qua USB tiếp tục là một vector rủi ro đáng kể. Điều này đã được chứng kiến trong các chiến dịch của nhóm Mustang Panda, nhóm này phát tán PlugX remote access trojan (RAT) thông qua các phương tiện lưu trữ di động bị nhiễm. Sau khi lây nhiễm, PlugX cho phép kẻ tấn công thiết lập kênh kiểm soát và điều khiển (C2) đối với các điểm cuối bị xâm nhập, tạo điều kiện cho việc thu thập thông tin và exfiltrate dữ liệu.
Các Công cụ và Mã độc Phổ biến
Nhiều loại mã độc và backdoor được sử dụng trong các chiến dịch này, mỗi loại có một vai trò cụ thể trong chuỗi tấn công:
- BeaverTail và InvisibleFerret: Được sử dụng chủ yếu cho việc xâm nhập ban đầu và thiết lập sự duy trì quyền truy cập trong môi trường nạn nhân.
- RokRAT: Một backdoor cho phép exfiltrate dữ liệu bằng cách sử dụng các dịch vụ lưu trữ đám mây hợp pháp, giúp che giấu lưu lượng độc hại.
- PlugX: Một trojan truy cập từ xa (RAT) được phát tán qua USB và các vector khác, cung cấp cho kẻ tấn công khả năng điều khiển và kiểm soát các hệ thống bị nhiễm.
- ANEL backdoor: Được phát hiện trong các nỗ lực spear phishing vào tháng 3 năm 2025, thường được triển khai thông qua hạ tầng MirrorFace, minh họa sự dai dẳng của các nhóm APT trong việc thăm dò mạng lưới Nhật Bản.
Khai thác Điểm yếu Zero-day và Thiết bị Biên
Một phát hiện quan trọng liên quan đến việc khai thác các lỗ hổng zero-day chống lại các thiết bị VPN của Ivanti. Các cuộc tấn công này được quan sát vào đầu năm 2025 và phản ánh các mẫu hình đã thấy từ năm trước, cho phép thực thi mã từ xa không xác thực (RCE) để bỏ qua các lớp phòng thủ chu vi của tổ chức. Khả năng RCE trên các thiết bị biên như VPN gateways là cực kỳ nghiêm trọng, vì chúng là điểm truy cập quan trọng vào mạng nội bộ.
Các chiến dịch song song cũng đã nhắm mục tiêu vào các thiết bị VPN của Fortinet, khai thác các lỗ hổng tương tự để giành quyền truy cập ban đầu. Điều này đặc biệt phổ biến tại các chi nhánh sản xuất ở nước ngoài của các công ty Nhật Bản, nơi có thể có ít biện pháp an ninh nghiêm ngặt hơn hoặc quy trình vá lỗi chậm hơn.
Kỹ thuật Lẩn tránh Phát hiện
Để duy trì sự hiện diện và tránh bị phát hiện, các tác nhân đe dọa sử dụng nhiều kỹ thuật lẩn tránh:
- Living-off-the-land (LotL): Các vụ xâm nhập thường tiến triển đến giai đoạn trinh sát bằng cách lạm dụng các công cụ hệ thống gốc như PowerShell hoặc WMI để liệt kê thông tin và chuẩn bị dữ liệu. Việc sử dụng các công cụ hợp pháp có sẵn trên hệ thống nạn nhân giúp kẻ tấn công hòa trộn vào hoạt động bình thường, làm phức tạp việc phân tích pháp y và khiến việc phân biệt giữa hoạt động hợp pháp và độc hại trở nên khó khăn.
- WinDivert: Nhóm TELEBOYi đã duy trì việc triển khai PlugX và thường tích hợp các kỹ thuật lẩn tránh như WinDivert. WinDivert là một thư viện chặn gói tin chế độ người dùng, được sử dụng để làm gián đoạn liên lạc với các máy chủ phát hiện và phản hồi điểm cuối (EDR) và ngăn chặn giám sát theo thời gian thực. Bằng cách thao túng lưu lượng mạng ở cấp độ thấp, kẻ tấn công có thể vô hiệu hóa hoặc làm suy yếu khả năng của các giải pháp an ninh trong việc phát hiện và phản ứng với các mối đe dọa.
Mục tiêu Ngành và Đối tượng
Xét về ngành, các cuộc tấn công trải rộng nhiều lĩnh vực, với ngành sản xuất, tài chính và công nghệ chịu ảnh hưởng nặng nề nhất. Các ngành này thường nắm giữ tài sản trí tuệ có giá trị, dữ liệu tài chính nhạy cảm hoặc công nghệ tiên tiến, khiến chúng trở thành mục tiêu hấp dẫn cho các chiến dịch gián điệp mạng.
Chỉ số Nhận diện Tấn công (IOCs)
Dưới đây là các chỉ số nhận diện tấn công (IOCs) chính được đề cập trong báo cáo, giúp xác định và phát hiện các hoạt động liên quan đến các chiến dịch này:
- Mã độc / Backdoor:
- BeaverTail
- InvisibleFerret
- RokRAT
- PlugX
- ANEL backdoor
- Nhóm Tác nhân Đe dọa:
- North Korean threat actors (Các tác nhân đe dọa từ Triều Tiên)
- Mustang Panda
- TELEBOYi
- Các nhóm APT liên kết
- Hạ tầng:
- MirrorFace
- Kỹ thuật Khai thác:
- Khai thác zero-day trên thiết bị VPN Ivanti
- Khai thác lỗ hổng trên thiết bị VPN Fortinet
- Kỹ thuật Lẩn tránh:
- Living-off-the-land (LotL) – sử dụng PowerShell, WMI
- WinDivert
Khuyến nghị Phòng thủ
Mặc dù một số đường lây nhiễm vẫn chưa được xác định – có thể cho thấy các khai thác zero-click tinh vi hoặc mối đe dọa từ nội bộ – báo cáo nhấn mạnh sự cần thiết phải tăng cường các biện pháp phòng thủ chủ động. Các khuyến nghị chính bao gồm:
- Tăng cường săn lùng mối đe dọa (threat hunting): Chủ động tìm kiếm các dấu hiệu của sự xâm nhập trong mạng lưới, thay vì chỉ dựa vào các biện pháp phòng thủ bị động.
- Triển khai xác thực đa yếu tố (MFA) trên tất cả các dịch vụ bị lộ ra bên ngoài: Điều này giúp ngăn chặn truy cập trái phép ngay cả khi thông tin đăng nhập bị đánh cắp.
- Vá lỗi định kỳ và kịp thời các thiết bị biên như cổng VPN và máy chủ web: Đây là những điểm yếu thường bị khai thác để truy cập ban đầu.
- Nâng cao nhận thức về các mối đe dọa kỹ thuật xã hội: Đào tạo nhân viên về các dấu hiệu của spear phishing và các nỗ lực kỹ thuật xã hội khác.
Khi các tác nhân từ Triều Tiên và các nhóm liên kết tiếp tục tinh chỉnh bộ công cụ và chiến thuật của họ, các tổ chức Nhật Bản đang đối mặt với một bối cảnh mối đe dọa đang phát triển đòi hỏi các biện pháp phòng thủ chủ động chống lại cả các hoạt động mạng cơ hội và có mục tiêu. Phân tích này đóng vai trò như một lời kêu gọi hành động, thúc giục tăng cường nhận thức và các biện pháp phục hồi để giảm thiểu việc đánh cắp tài sản trí tuệ và dữ liệu quan trọng trong một miền kỹ thuật số ngày càng cạnh tranh.
