Lazarus Group, còn được biết đến với tên gọi HIDDEN COBRA, một nhóm tin tặc tinh vi được cho là liên kết, đã phát động một làn sóng tấn công mới nhắm vào các nhà sản xuất máy bay không người lái và nhà thầu quốc phòng tại châu Âu. Mục tiêu chính là thu thập thông tin độc quyền và tài sản trí tuệ quan trọng.
Chiến Dịch Operation DreamJob: Mục Tiêu và Phạm Vi Tấn Công
Chiến dịch này, được theo dõi dưới tên mã Operation DreamJob, được ghi nhận bắt đầu vào cuối tháng 3 năm 2025. Nó tập trung đặc biệt vào các tổ chức phát triển công nghệ máy bay không người lái (UAV) trên khắp khu vực Trung và Đông Nam châu Âu.
Các nhà nghiên cứu đã xác định rõ ràng hoạt động này là một phần của nỗ lực chiến lược rộng lớn hơn. Mục tiêu là thúc đẩy chương trình máy bay không người lái trong nước, đặc biệt sau khi quan sát thấy sự gia tăng đầu tư vào năng lực chiến tranh hiện đại trong bối cảnh xung đột quốc tế.
Cuộc tấn công này thể hiện một sự leo thang đáng kể trong chiến thuật cyber espionage. Mục tiêu cốt lõi là đánh cắp thông tin sản xuất độc quyền và tài sản trí tuệ từ các lĩnh vực hàng không vũ trụ và quốc phòng. Điều này tạo ra một mối đe dọa mạng nghiêm trọng đối với các ngành công nghiệp nhạy cảm này.
Các Mục Tiêu Bị Ảnh Hưởng
Ba công ty châu Âu đã được xác nhận là mục tiêu trực tiếp. Ít nhất hai trong số đó tham gia sâu vào việc thiết kế máy bay không người lái rotor đơn tiên tiến. Họ cũng sản xuất các thành phần UAV quan trọng đang được triển khai trong các khu vực xung đột.
Thời điểm của các cuộc tấn công này trùng khớp với những nỗ lực được báo cáo nhằm sản xuất hàng loạt máy bay không người lái chiến đấu và trinh sát. Các mẫu này tương tự các mẫu của phương Tây như MQ-9 Reaper và RQ-4 Global Hawk, cho thấy một mục tiêu chiến lược rõ ràng.
Phương Thức Khai Thác và Kỹ Thuật Lây Nhiễm
Các nhà phân tích của Welivesecurity và các nhà nghiên cứu đã ghi nhận rằng cơ sở hạ tầng mã độc được sử dụng trong các cuộc tấn công này áp dụng các cơ chế phân phối tinh vi. Điều này được thiết kế để né tránh các biện pháp phòng thủ an ninh truyền thống. Theo Welivesecurity, các chiến thuật được Lazarus Group sử dụng ngày càng phức tạp.
Khởi Đầu Bằng Social Engineering
Cuộc tấn công khởi đầu bằng kỹ thuật social engineering. Cụ thể, nhóm này sử dụng các đề nghị công việc giả mạo cho các vị trí danh giá trong ngành. Mục đích là lừa nhân viên tải xuống và thực thi các tài liệu bị chèn mã độc (trojanized documents).
Một khi được thực thi, mã độc sẽ triển khai một chuỗi các công cụ chuyên biệt. Chúng được thiết kế để duy trì quyền truy cập liên tục và tránh bị phát hiện trên các hệ thống đã bị xâm nhập.
Kỹ Thuật DLL Side-Loading Nâng Cao
Cơ chế lây nhiễm chính dựa vào DLL side-loading. Đây là một kỹ thuật tấn công tinh vi trong đó kẻ tấn công lợi dụng cách hệ điều hành Windows tải các thư viện động (DLL). Kỹ thuật này khai thác các ứng dụng hợp pháp để tải các thư viện độc hại cùng với các thư viện chính thống. Điều này giúp mã độc bỏ qua các biện pháp kiểm soát an ninh thông thường.
Kẻ tấn công đã tích hợp mã độc của mình vào các phiên bản bị chèn mã độc của phần mềm mã nguồn mở phổ biến. Chúng bao gồm TightVNC Viewer, trình đọc MuPDF và các plugin WinMerge. Những phần mềm này thường được tin cậy, giúp mã độc dễ dàng lẩn trốn.
Một dropper đặc biệt đã chứa tên tệp nội bộ là DroneEXEHijackingLoader.dll. Tên này trực tiếp tham chiếu đến trọng tâm chiến dịch của kẻ tấn công là công nghệ máy bay không người lái. Điều này cung cấp một dấu hiệu rõ ràng về mục tiêu của Lazarus Group.
ScoringMathTea: Remote Access Trojan Chủ Lực
Payload chính được triển khai trong tất cả các sự cố là ScoringMathTea, một remote access trojan (RAT) mạnh mẽ. RAT này cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn các máy tính bị xâm nhập. Khả năng này cho phép chúng thực hiện các hoạt động giám sát, thu thập thông tin và phá hoại.
Mã độc tinh vi này cung cấp khoảng 40 lệnh khác nhau. Các lệnh này bao gồm thao tác hệ thống, trích xuất tệp (dẫn đến rò rỉ dữ liệu nhạy cảm) và triển khai các payload tiếp theo. Nó cho phép kẻ tấn công thực hiện nhiều hành động độc hại trên hệ thống mục tiêu.
Điều khiến ScoringMathTea đặc biệt nguy hiểm là khả năng giữ cho nó được mã hóa hoàn toàn trên ổ đĩa. Mã độc này chỉ được giải mã trong bộ nhớ trong quá trình thực thi. Điều này khiến việc phát hiện dựa trên tệp truyền thống gần như không thể nếu không có giám sát hành vi nâng cao và các công cụ phân tích bộ nhớ chuyên sâu. Đây là một thách thức lớn trong việc đối phó với mối đe dọa mạng hiện đại.
Biện Pháp Phòng Chống và Giảm Thiểu Rủi Ro Trước Các Cuộc Tấn Công Của Lazarus Group
Để giảm thiểu rủi ro từ các cuộc tấn công tinh vi như Operation DreamJob do Lazarus Group thực hiện, các tổ chức cần áp dụng một chiến lược bảo mật đa lớp toàn diện.
- Nâng cao Nhận Thức Về Social Engineering: Thực hiện các chương trình đào tạo thường xuyên cho nhân viên về nhận diện email lừa đảo (phishing), liên kết đáng ngờ và tài liệu không được yêu cầu. Nhấn mạnh tầm quan trọng của việc xác minh nguồn gốc của mọi liên lạc và tệp đính kèm trước khi tương tác.
- Quản Lý Bản Vá và Cập Nhật Phần Mềm: Đảm bảo tất cả hệ điều hành, ứng dụng và đặc biệt là phần mềm mã nguồn mở cũng như các công cụ tiện ích, được cập nhật các bản vá bảo mật mới nhất. Việc này giúp phòng tránh các lỗ hổng đã biết mà kẻ tấn công có thể khai thác.
- Triển Khai Giải Pháp EDR/XDR Nâng Cao: Sử dụng các giải pháp phát hiện và phản hồi điểm cuối (EDR) hoặc mở rộng (XDR) với khả năng giám sát hành vi mạnh mẽ. Các giải pháp này có thể phát hiện các hoạt động bất thường, bao gồm kỹ thuật DLL side-loading và việc thực thi các payload chỉ chạy trong bộ nhớ, vốn rất khó phát hiện bằng phương pháp truyền thống.
- Kiểm Soát Ứng Dụng và Whitelisting: Hạn chế nghiêm ngặt việc thực thi các ứng dụng không được phép trên hệ thống. Áp dụng chính sách whitelisting để chỉ cho phép các chương trình đã được phê duyệt và xác minh chạy, ngăn chặn mã độc mới từ việc lây lan.
- Phân Đoạn Mạng (Network Segmentation): Triển khai phân đoạn mạng để cô lập các phần khác nhau của cơ sở hạ tầng. Điều này giúp giới hạn phạm vi tác động của một cuộc tấn công. Nếu một hệ thống bị xâm nhập, kẻ tấn công sẽ khó di chuyển ngang (lateral movement) và truy cập các tài nguyên nhạy cảm khác.
- Sao Lưu và Kế Hoạch Phục Hồi Dữ Liệu: Duy trì các bản sao lưu dữ liệu quan trọng một cách thường xuyên và an toàn. Đồng thời, kiểm tra kỹ lưỡng kế hoạch phục hồi sau sự cố để đảm bảo khả năng khôi phục hoạt động nhanh chóng và hiệu quả, giảm thiểu thiệt hại từ rò rỉ dữ liệu hoặc phá hoại.
- Giám Sát Mạng Liên Tục: Triển khai các hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng chống xâm nhập (IPS) cùng với việc giám sát log tập trung. Điều này giúp phát hiện sớm các dấu hiệu của hoạt động độc hại và phản ứng kịp thời.
Việc nghiên cứu và chia sẻ thông tin về các chiến thuật, kỹ thuật và quy trình (TTPs) của Lazarus Group là cần thiết để phát triển các biện pháp phòng thủ hiệu quả hơn và tăng cường khả năng phục hồi của hệ thống.
