Chiến Thuật “ClickFix” Của Kimsuky: Phân Tích Kỹ Thuật Và Biện Pháp Đối Phó
Nhóm tin tặc được chính phủ Triều Tiên bảo trợ, Kimsuky, đã bị phát hiện sử dụng một kỹ thuật lừa đảo tinh vi mang tên “ClickFix” để xâm nhập vào máy tính của nạn nhân trong nhiều cuộc tấn công mạng đáng lo ngại. Kỹ thuật này lần đầu tiên được Proofpoint ghi nhận vào tháng 4 năm 2024. ClickFix thao túng người dùng thực thi các tập lệnh độc hại bằng cách ngụy trang thành các hướng dẫn khắc phục sự cố hợp pháp hoặc quy trình xác minh tài liệu bảo mật.
Chiến thuật thao túng tâm lý này, thường gắn liền với hoạt động đe dọa “BabyShark” đang diễn ra của Kimsuky, đã phát triển thành một mối đe dọa toàn cầu. Các báo cáo sau đó của Sekoia và Proofpoint vào năm 2024 và 2025 tiết lộ rằng các tác nhân được nhà nước bảo trợ từ Iran và Nga cũng đã áp dụng kỹ thuật này. Genians Security Center (GSC) đã gắn cờ hoạt động này vào đầu năm 2025, nhấn mạnh nhu cầu cấp bách về các chiến lược phát hiện và phản hồi điểm cuối (EDR) mạnh mẽ để chống lại các phần mềm độc hại bị che giấu và các hành vi bất thường như vậy.
Phân Tích Các Chiến Dịch Khai Thác Ban Đầu
Các chiến dịch ClickFix của Kimsuky thường bắt đầu bằng các email spear-phishing được soạn thảo tỉ mỉ. Một ví dụ điển hình là cuộc tấn công vào tháng 1 năm 2025 nhắm vào một chuyên gia ngoại giao Hàn Quốc. Kẻ tấn công, mạo danh phóng viên Đông Á cho một tờ báo Thụy Sĩ, đã tham gia vào quá trình liên lạc kéo dài với nạn nhân trước khi gửi một URL độc hại chứa tệp Visual Basic Script (VBS).
Tập lệnh VBS này được mã hóa và che giấu bằng cách chèn các chuỗi ngẫu nhiên, ví dụ như “7539518426”, nhằm mục đích né tránh sự phát hiện của các giải pháp bảo mật truyền thống. Khi thực thi, tập lệnh này sẽ thực hiện các lệnh để tải payload từ máy chủ Command-and-Control (C2), thiết lập sự bền bỉ trên hệ thống thông qua các tác vụ đã lên lịch (scheduled tasks), và sau đó đánh cắp dữ liệu người dùng (exfiltrate user data) ra ngoài.
Chuyển Đổi Sang Kỹ Thuật PowerShell Tinh Vi Hơn
Đến tháng 3 năm 2025, nhóm tin tặc này đã chuyển sang một biến thể ClickFix nguy hiểm hơn, mạo danh một trợ lý an ninh quốc gia Hoa Kỳ. Chúng lừa nạn nhân dán các lệnh PowerShell độc hại từ một tệp “Code.txt” được cung cấp, dưới chiêu bài truy cập tài liệu bảo mật. Các lệnh này được che giấu thông qua kỹ thuật đảo ngược thứ tự (reverse-order obfuscation), nhưng vẫn phản ánh các mẫu VBS trước đó và kết nối với các máy chủ C2 như raedom[.]store, cho thấy các chiến thuật nhất quán trên khắp các chiến dịch.
Một trường hợp khác liên quan đến một cổng thông tin tuyển dụng quốc phòng giả mạo. Cổng này hiển thị các cửa sổ bật lên (popups) hướng dẫn người dùng cài đặt Chrome Remote Desktop. Việc cài đặt này cho phép kẻ tấn công giành quyền truy cập từ xa thông qua giao thức Secure Shell (SSH). Những phương pháp này làm nổi bật khả năng thích ứng của Kimsuky trong việc khai thác lòng tin của người dùng và vượt qua các biện pháp bảo mật truyền thống.
Chỉ Số Thỏa Hiệp (IOCs)
Trong các chiến dịch này, một số chỉ số thỏa hiệp (IOCs) đã được ghi nhận, giúp các tổ chức phát hiện và phản ứng kịp thời:
- C2 Server: raedom[.]store
Phân Tích Ngôn Ngữ Và Gán Tấn Công
Các dấu hiệu ngôn ngữ, bao gồm cả thuật ngữ Bắc Triều Tiên như “래일” (ngày mai) và “지령” (mệnh lệnh), tiếp tục gán các cuộc tấn công này cho nhóm Kimsuky. Điều này nhấn mạnh vai trò quan trọng của phân tích văn hóa và ngữ cảnh trong việc gán mối đe dọa (threat attribution) và hiểu rõ nguồn gốc của các chiến dịch tấn công.
Kỹ Thuật Và MITRE ATT&CK Mapping
Chiến thuật ClickFix, được phân loại theo khuôn khổ MITRE ATT&CK là User Execution: Malicious Copy and Paste (T1204.004), đặt ra một thách thức đáng kể do nó dựa vào kỹ thuật xã hội (social engineering) thay vì các lỗ hổng trực tiếp (direct exploits). Kỹ thuật này khai thác sự tin tưởng và sơ suất của con người, khiến việc phòng ngừa trở nên phức tạp hơn so với việc vá lỗi phần mềm. Người dùng bị lừa dán các lệnh độc hại vào cửa sổ dòng lệnh hoặc các ứng dụng khác, tự mình thực thi mã độc mà không hề hay biết.
Kỹ thuật T1204.004 thể hiện rõ cách Kimsuky không cần sử dụng các lỗ hổng zero-day phức tạp mà vẫn có thể đạt được mục tiêu xâm nhập. Thay vào đó, chúng tập trung vào việc tạo ra các kịch bản lừa đảo thuyết phục, khuyến khích nạn nhân thực hiện các hành động có hại. Điều này làm tăng tầm quan trọng của việc nâng cao nhận thức về bảo mật và đào tạo người dùng.
Giải Pháp Phát Hiện Và Giảm Thiểu
Hệ thống Genian EDR đã chứng tỏ hiệu quả trong việc theo dõi các mối đe dọa này, cung cấp khả năng hiển thị sâu rộng vào quá trình thực thi PowerShell và các quy trình tiếp theo như cmd.exe và schtasks.exe. Đồng thời, Genian EDR cũng ánh xạ các giao tiếp C2, cung cấp thông tin hữu ích cho việc giảm thiểu kịp thời.
Với việc Kimsuky tiếp tục tinh chỉnh phương pháp tiếp cận của mình – thể hiện rõ trong một cuộc tấn công vào tháng 6 năm 2025 khi chúng bắt chước giao diện bảo mật của một cổng thông tin web Hàn Quốc – các tổ chức phải ưu tiên đào tạo nâng cao nhận thức về bảo mật và bảo vệ điểm cuối chủ động. Việc đào tạo nhận thức về bảo mật giúp người dùng nhận diện các dấu hiệu của kỹ thuật xã hội, chẳng hạn như email đáng ngờ, yêu cầu dán mã hoặc các thông báo giả mạo. Bảo vệ điểm cuối chủ động, thông qua các giải pháp EDR và Antivirus tiên tiến, có thể phát hiện và ngăn chặn các hành vi độc hại ngay cả khi chúng cố gắng né tránh các lớp phòng thủ ban đầu.
Việc ngăn chặn người dùng vô tình thực thi các tập lệnh độc hại là một yếu tố then chốt. Các biện pháp bao gồm:
- Đào tạo nhận thức về bảo mật định kỳ: Hướng dẫn người dùng cách nhận biết email spear-phishing, các liên kết và tệp đính kèm đáng ngờ.
- Chính sách bảo mật nghiêm ngặt: Hạn chế quyền thực thi tập lệnh không rõ nguồn gốc.
- Triển khai EDR và SIEM: Giám sát các hoạt động trên điểm cuối, phát hiện các hành vi bất thường của PowerShell, VBS, cmd.exe, và các kết nối C2.
- Kiểm soát ứng dụng và mã hóa dữ liệu: Ngăn chặn việc thực thi các ứng dụng không được phép và bảo vệ dữ liệu nhạy cảm khỏi bị đánh cắp.
Trong bối cảnh mối đe dọa mạng ngày càng phát triển và tinh vi, đặc biệt là từ các nhóm được nhà nước bảo trợ như Kimsuky, việc kết hợp giữa công nghệ bảo mật tiên tiến và nhận thức của con người là yếu tố then chốt để xây dựng một hàng rào phòng thủ vững chắc.
