Nhóm tác nhân đe dọa LARVA-208, vốn nổi tiếng với các cuộc tấn công lừa đảo (phishing) và kỹ thuật xã hội nhằm vào nhân viên IT nói tiếng Anh, đã chuyển hướng mục tiêu sang các nhà phát triển Web3. Chiến dịch mới này thể hiện sự thích nghi của nhóm với các xu hướng công nghệ mới nổi, vũ khí hóa các công cụ AI để khai thác lòng tin của nhà phát triển vào các nền tảng cộng tác.
Chiến Thuật Lừa Đảo Phishing và Kỹ Thuật Xã Hội
LARVA-208 sử dụng các liên kết lừa đảo có mục tiêu (spearphishing – T1566.002) để thu hút nạn nhân bằng các lời mời làm việc hoặc yêu cầu xem xét danh mục đầu tư giả mạo. Các liên kết này hướng nạn nhân đến các nền tảng không gian làm việc AI giả mạo. Các trang web lừa đảo này, chẳng hạn như tên miền norlax.ai (T1583.001), được thiết kế để bắt chước các dịch vụ hợp pháp như Teampilot.ai nhằm xây dựng lòng tin cho nạn nhân.
Khi nạn nhân đã bị thu hút, họ sẽ nhận được các mã mời và email độc đáo, dẫn đến các môi trường họp trực tuyến được mô phỏng. Tại đây, nhóm tác nhân cố tình tạo ra các vấn đề về âm thanh giả mạo, thúc đẩy nạn nhân tải xuống một phần mềm độc hại ngụy trang thành trình điều khiển âm thanh Realtek HD Audio Driver (T1036.005). Việc thực thi tệp tin độc hại này sẽ kích hoạt một lệnh PowerShell nhúng (T1059.001). Lệnh này sau đó kết nối đến các máy chủ điều khiển và kiểm soát (C2 – T1583.004) để truy xuất và triển khai mã độc đánh cắp thông tin Fickle infostealer.
Mã độc Fickle thực hiện việc rút trích dữ liệu nhạy cảm một cách có hệ thống. Các thông tin bị đánh cắp bao gồm tên thiết bị, thông số kỹ thuật phần cứng, phiên bản hệ điều hành, vị trí địa lý thông qua địa chỉ IP, các chương trình đã cài đặt, các tiến trình đang chạy và thông tin xác thực người dùng. Toàn bộ dữ liệu này sau đó được truyền trở lại hạ tầng của kẻ tấn công (T1041). Mục tiêu cuối cùng của nhóm là thu thập ví tiền điện tử, thông tin xác thực phát triển và dữ liệu dự án, cho thấy sự chuyển dịch từ mô hình kiếm tiền tập trung vào ransomware sang việc bán dữ liệu trên các thị trường bất hợp pháp.
Hai Kênh Lây Nhiễm Chính của Chiến Dịch
Chiến dịch của LARVA-208 khai thác hai vector lây nhiễm chính. Trong phương thức đầu tiên, những kẻ tấn công phân phối các liên kết cuộc họp trên các nền tảng xã hội như X (trước đây là Twitter) và Telegram cho các nhà phát triển quan tâm đến chủ đề blockchain và Web3, ngụy tạo chúng thành các cơ hội phỏng vấn.
Kênh lây nhiễm thứ hai khai thác các ứng dụng việc làm trên các nền tảng như Remote3.co cho các vị trí Crypto Analyst. Ở đây, các phiên Google Meet ban đầu, vốn là hợp pháp, sẽ chuyển đổi sang việc chia sẻ các liên kết Norlax AI độc hại qua chat, một cách để lách các cảnh báo của nền tảng về việc tải xuống đáng ngờ. Khi tham gia cuộc gọi giả mạo, nạn nhân gặp phải các lỗi trình điều khiển âm thanh được thiết kế sẵn, thúc đẩy việc tải xuống từ điểm cuối /getfile.php của audiorealtek.com. Trình cài đặt này, trong khi hiển thị giao diện hợp pháp, lại âm thầm thực thi PowerShell từ setup.dll (T1204.002), truy xuất mã độc Fickle từ các tên miền C2 như cjhsbam.com.
Tiến Hóa trong Phương Pháp của LARVA-208
Chiến dịch hiện tại đánh dấu sự tiến hóa từ các phương pháp trước đây của LARVA-208. Trước đây, nhóm này thường lừa nạn nhân tải xuống các tệp .LNK ngụy trang thành các tệp Windows Script Files hợp pháp (ví dụ: manage-bde.wsf). Các tệp .LNK này sử dụng toán tử dấu và (ampersand operator) để nối thêm các lệnh PowerShell ẩn, nhằm tải xuống các payload từ các máy chủ như bitacid.net.
Hiện tại, việc rút trích dữ liệu tận dụng các trang web lưu trữ văn bản như Filebin (T1567.003) cho mục đích lưu trữ hồ sơ. Trong khi đó, các chi tiết quan trọng của nạn nhân như hệ điều hành (OS), tên người dùng (username), địa chỉ IP, vị trí địa lý (geolocation) và thông tin phần mềm diệt virus (antivirus) được chuyển tiếp đến notify.php trên các máy chủ C2 thông qua các giao thức web (T1071.001). Theo Catalyst Report, trong các thiết lập nâng cao hơn, thông tin tình báo thu thập được sẽ được tải lên các máy chủ SilentPrism do tác nhân kiểm soát để theo dõi theo thời gian thực.
LARVA-208 cũng có được các tên miền phishing và C2 thông qua dịch vụ lưu trữ bulletproof hosting của FFv2. Dịch vụ này thường được chia sẻ với nhóm Luminous Mantis, điều này dẫn đến sự chồng chéo trong việc quy kết trách nhiệm trong cộng đồng an ninh mạng.
Chỉ Số Đánh Cắp (IOCs)
Dưới đây là các chỉ số đánh cắp (Indicators of Compromise – IOCs) liên quan đến các chiến dịch của nhóm LARVA-208:
- Tên miền độc hại/C2:
norlax.ai(Tên miền giả mạo nền tảng AI)audiorealtek.com(Tên miền lưu trữ trình điều khiển giả mạo)cjhsbam.com(Tên miền máy chủ C2 của Fickle infostealer)bitacid.net(Tên miền C2 được sử dụng trong các chiến dịch trước đây)
- Mã độc:
- Fickle infostealer
- Tệp tin độc hại:
setup.dll(Kích hoạt PowerShell để tải Fickle)- Trình điều khiển Realtek HD Audio Driver giả mạo
- Điểm cuối rút trích dữ liệu:
audiorealtek.com/getfile.phpnotify.php(trên máy chủ C2)
- Dịch vụ lưu trữ dữ liệu:
- Filebin (được sử dụng cho mục đích lưu trữ hồ sơ)
- SilentPrism servers (được kiểm soát bởi tác nhân để giám sát theo thời gian thực)
Khuyến Nghị Phòng Ngừa
Để giảm thiểu rủi ro từ các mối đe dọa như của LARVA-208, các chuyên gia an ninh mạng khuyến nghị thực hiện các biện pháp phòng ngừa sau:
- Xác minh tính xác thực của tên miền: Luôn kiểm tra kỹ lưỡng các URL, đặc biệt là khi nhận được từ các nguồn không quen thuộc hoặc trong các tình huống nhạy cảm như lời mời làm việc hay tài liệu dự án. Hãy cẩn trọng với các tên miền có lỗi chính tả nhỏ hoặc sự khác biệt so với các dịch vụ hợp pháp.
- Tránh tải xuống không được yêu cầu: Không bao giờ tải xuống hoặc chạy các tệp tin từ các liên kết không được mong đợi, đặc biệt là các tệp tin được yêu cầu để “sửa lỗi” trong các cuộc họp trực tuyến hoặc khi duyệt các trang web không quen thuộc. Luôn tải phần mềm từ các trang web chính thức của nhà cung cấp.
- Triển khai phát hiện điểm cuối cho các bất thường PowerShell: Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) để giám sát các hoạt động của PowerShell. Cấu hình cảnh báo cho các lệnh PowerShell đáng ngờ hoặc các kịch bản chạy từ các vị trí bất thường, đặc biệt là khi chúng cố gắng thiết lập kết nối mạng hoặc tải xuống các payload bổ sung.
- Nâng cao nhận thức về kỹ thuật xã hội: Đào tạo người dùng về các dấu hiệu của các cuộc tấn công kỹ thuật xã hội, nhấn mạnh tầm quan trọng của việc hoài nghi đối với các lời mời hấp dẫn hoặc các tình huống khẩn cấp được tạo ra.
- Sử dụng xác thực đa yếu tố (MFA): Bật MFA trên tất cả các tài khoản quan trọng, đặc biệt là các tài khoản liên quan đến phát triển Web3, ví tiền điện tử hoặc các nền tảng cộng tác.
- Cập nhật hệ thống và phần mềm thường xuyên: Đảm bảo hệ điều hành, trình duyệt web và tất cả các ứng dụng, đặc biệt là các công cụ phát triển, được cập nhật với các bản vá bảo mật mới nhất.
