SentinelOne đã công bố chi tiết về một chiến dịch tấn công phần mềm độc hại đang diễn ra, được thực hiện bởi các nhóm tác nhân đe dọa liên quan đến Triều Tiên. Những kẻ này nổi tiếng với các chiêu trò lừa đảo “phỏng vấn giả” dai dẳng. Hoạt động hiện tại tiếp tục sử dụng chiến thuật spear-phishing nhắm vào các cá nhân và tổ chức trong ngành Web3, tiền điện tử (cryptocurrency) và blockchain.
Chuỗi Tấn Công và Phương Thức Hoạt Động Chi tiết
Vectơ Ban Đầu: Spear-phishing và Lừa đảo Phỏng vấn Giả
Những kẻ tấn công bắt đầu liên hệ với mục tiêu bằng cách đưa ra các cơ hội việc làm hấp dẫn, thường thông qua các thư điện tử được tạo ra một cách tỉ mỉ. Các cơ hội việc làm này được ngụy tạo để trông có vẻ hợp pháp và phù hợp với chuyên môn của nạn nhân, nhằm tăng khả năng bị thu hút. Quá trình tuyển dụng giả mạo sau đó thường dẫn đến các cuộc phỏng vấn ảo được sắp xếp qua nền tảng Zoom. Trong cuộc phỏng vấn này, hoặc ngay sau đó, nạn nhân được yêu cầu cài đặt một bản cập nhật phần mềm được ngụy trang thành “Zoom SDK update” hoặc một công cụ liên quan đến cuộc phỏng vấn. Tuy nhiên, bản cập nhật này thực chất là một payload độc hại được thiết kế đặc biệt để thỏa hiệp các hệ thống chạy hệ điều hành macOS.
Quá trình Khai thác và Duy trì Truy cập
Sau khi nạn nhân thực thi bản cập nhật giả mạo, phần mềm độc hại sẽ kích hoạt một chuỗi tấn công nhiều giai đoạn (multi-stage attack chain). Chuỗi này được thiết kế để thiết lập và duy trì quyền truy cập trái phép vào hệ thống bị xâm nhập. Khả năng truy cập này cho phép các tác nhân đe dọa thực hiện hành vi đánh cắp dữ liệu nhạy cảm một cách có hệ thống. Điều này bao gồm việc chiếm đoạt thông tin xác thực cần thiết để truy cập ví tiền điện tử của nạn nhân cũng như các thông tin cá nhân quan trọng khác.
Đổi mới Kỹ thuật và Chiến thuật Lẩn tránh
Tiếp cận Đa Ngôn ngữ (Polyglot Programming)
Báo cáo của SentinelOne làm nổi bật một thực tế rằng, mặc dù vectơ kỹ thuật xã hội cốt lõi vẫn không thay đổi và cực kỳ hiệu quả trong suốt năm qua, tin tặc đã tích hợp các kỹ thuật lập trình sáng tạo để tăng cường khả năng tàng hình và lẩn tránh phát hiện. Sự đổi mới đáng chú ý nhất trong chiến dịch này là việc sử dụng đa ngôn ngữ lập trình. Cụ thể, chúng tích hợp các ngôn ngữ lập trình ít phổ biến hơn, đặc biệt là Nim, cùng với các ngôn ngữ đã được thiết lập và phổ biến rộng rãi như AppleScript, C++ và Java.
Sự kết hợp đa dạng này không chỉ tạo ra các tệp nhị phân và script phức tạp mà còn củng cố xương sống của cơ sở hạ tầng tấn công. Chẳng hạn, các mồi nhử ban đầu thường sử dụng các droppers dựa trên AppleScript. Các droppers này có nhiệm vụ tìm nạp và thực thi các payload được biên dịch bằng Nim. Khi được thực thi, các payload Nim này sẽ thiết lập các backdoors dai dẳng (persistent backdoors) thông qua các kết nối WebSocket bảo mật (wss). Việc sử dụng WSS giúp mã độc giao tiếp với máy chủ chỉ huy và kiểm soát (C2) một cách mã hóa, làm phức tạp quá trình phân tích lưu lượng mạng và phát hiện. Các backdoors này cung cấp cho kẻ tấn công khả năng thực thi lệnh từ xa, liệt kê các tiến trình đang chạy trên hệ thống, và quan trọng nhất là thực hiện đánh cắp dữ liệu một cách hiệu quả.
Mục tiêu Dữ liệu và Tác động
Mã độc được thiết kế để nhắm mục tiêu và trích xuất một loạt các dữ liệu nhạy cảm. Các mục tiêu chính bao gồm các artifact được lưu trữ trong trình duyệt từ các ứng dụng phổ biến như Chrome, Brave, Edge, Firefox và Arc. Cụ thể, nó thu thập cookie phiên (session cookies), mật khẩu đã lưu, và lịch sử duyệt web có liên kết đến các sàn giao dịch tiền điện tử hoặc các dịch vụ tài chính khác. Ngoài ra, phần mềm độc hại còn có khả năng trích xuất thông tin xác thực từ macOS Keychain, một hệ thống quản lý mật khẩu an toàn trên macOS. Nó cũng nhắm mục tiêu vào các cơ sở dữ liệu Telegram, thu thập lịch sử tin nhắn và các mã xác thực hai yếu tố tiềm năng. Cuối cùng, mã độc còn thu thập siêu dữ liệu hệ thống quan trọng như biến môi trường và danh sách các tiến trình đang chạy, cung cấp cho kẻ tấn công cái nhìn sâu sắc về môi trường mục tiêu.
Lý do đằng sau việc sử dụng Nim và các Ngôn ngữ Niche
SentinelOne nhấn mạnh rằng cách tiếp cận đa ngôn ngữ này, kết hợp nhiều ngôn ngữ lập trình khác nhau trong một chuỗi tấn công duy nhất, đặc biệt hiệu quả trong việc khai thác các lỗ hổng trong các hệ thống phát hiện tự động truyền thống. Nhiều công cụ chống vi-rút (AV) và các biện pháp bảo vệ an ninh (security guardrails) không được tối ưu hóa để phân tích hoặc phân loại chính xác các tệp nhị phân được biên dịch bằng các ngôn ngữ niche như Nim. Điều này tạo ra một thách thức lớn trong việc phân tích tĩnh (static analysis) và phân tích hành vi (behavioral analysis), cho phép mã độc hoạt động một cách lẩn tránh hơn.
Chiến thuật này phản ánh các xu hướng rộng hơn được quan sát thấy trong các hoạt động tội phạm mạng khác, chẳng hạn như những hoạt động đứng sau AMOS stealer, nơi những kẻ tấn công pha trộn các ngôn ngữ như Go và Bash để làm phức tạp mã độc, che giấu ý đồ độc hại và kéo dài khả năng duy trì sự hiện diện không bị phát hiện trên hệ thống mục tiêu. Sự chuyển đổi sang các mô hình lập trình đa dạng như vậy được thúc đẩy bởi động thái “mèo vờn chuột” liên tục giữa các tác nhân đe dọa và những người phòng thủ. Khi các cơ chế phát hiện cải thiện đối với các ngôn ngữ truyền thống như C++ hoặc Java, các đối thủ chuyển sang các ngôn ngữ ít được đại diện hơn hoặc các kỹ thuật biên dịch mới để né tránh các phương pháp phân tích phổ biến. Điều này buộc các nhà phòng thủ phải liên tục cập nhật và cải tiến khả năng phát hiện của mình.
SentinelOne còn cho rằng sự phát triển nhanh chóng của các kỹ thuật tấn công này có thể được thúc đẩy bởi sự phổ biến của các công cụ lập trình hỗ trợ Trí tuệ nhân tạo (AI). Các công cụ này cho phép tin tặc thử nghiệm, lặp lại và triển khai các payload đa ngôn ngữ với hiệu suất và tốc độ chưa từng có. Các phân tích trước đây từ các công ty an ninh mạng như Huntress và Huntabil.IT đã chỉ ra rằng các nhóm Triều Tiên đã tinh chỉnh phương pháp này trong những tháng gần đây, tích hợp Nim không chỉ vì khả năng biên dịch đa nền tảng (cross-platform compilation) mà còn vì đặc tính tạo ra dấu vết pháp lý thấp (low forensic footprint) trên macOS, làm cho việc điều tra và truy vết trở nên khó khăn hơn đối với các nhà phân tích pháp y.
Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Đối với người dùng Apple, đặc biệt là những người làm việc trong các lĩnh vực có rủi ro cao như Web3 và tài chính, điều này có nghĩa là các chỉ số thỏa hiệp thông thường như hành vi hệ thống bất thường có thể không còn đủ để phát hiện. Phần mềm độc hại hoạt động một cách lẩn tránh hơn, làm giảm khả năng bị nhận diện qua các dấu hiệu bề ngoài. Để hỗ trợ các hoạt động phòng thủ, SentinelOne đã xác định các domain lừa đảo mạo danh cơ sở hạ tầng Zoom hợp pháp. Các domain này được sử dụng để lưu trữ và phân phối các script độc hại:
support.us05web-zoom[.]forumsupport.us05web-zoom[.]prosupport.us05web-zoom[.]cloudsupport.us06web-zoom[.]online
Giảm thiểu Rủi ro và Khuyến nghị Phòng thủ
Để giảm thiểu rủi ro từ các chiến dịch như thế này, các chuyên gia bảo mật nhấn mạnh tầm quan trọng của sự cảnh giác cao độ. Người dùng nên đặc biệt thận trọng đối với bất kỳ lời mời làm việc không mong muốn nào, đặc biệt là những lời mời đến từ các nguồn không xác định hoặc đáng ngờ, ngay cả khi chúng có vẻ hấp dẫn. Quan trọng hơn, cần hết sức cảnh giác chống lại việc chạy bất kỳ bản cập nhật phần mềm nào, đặc biệt là các ứng dụng như Zoom, từ các nguồn không chính thức hoặc các liên kết được cung cấp qua email hoặc tin nhắn lạ.
Nguyên tắc cơ bản là người dùng chỉ nên tải xuống và cài đặt các bản cập nhật phần mềm duy nhất từ các kênh chính thức của nhà cung cấp. Đối với Zoom, điều này có nghĩa là chỉ sử dụng chức năng cập nhật tích hợp sẵn trong ứng dụng hoặc tải trực tiếp từ trang web chính thức của Zoom. Đối với các ứng dụng macOS nói chung, việc sử dụng Apple App Store cũng là một phương pháp an toàn. Việc tuân thủ nghiêm ngặt các quy tắc này giúp giảm đáng kể nguy cơ bị nhiễm phần mềm độc hại thông qua các kỹ thuật lừa đảo.
Chiến dịch này không chỉ là một ví dụ điển hình mà còn nhấn mạnh một xu hướng ngày càng tăng trong thế giới tội phạm mạng: sự kết hợp phức tạp của các ngôn ngữ lập trình đa dạng, được hỗ trợ bởi các công cụ AI. Sự kết hợp này tạo ra các mối đe dọa vô cùng đáng gờm, đòi hỏi các nhà nghiên cứu và đội ngũ phòng thủ phải có những phản ứng thích ứng và linh hoạt. Bằng cách tận dụng các công cụ AI tương tự, các nhà phòng thủ có thể tăng tốc nỗ lực đảo ngược kỹ thuật (reverse-engineering) mã độc, hiểu rõ hơn về cách chúng hoạt động và từ đó tăng cường khả năng phát hiện đối với các ngôn ngữ lập trình mới nổi hoặc các kỹ thuật tấn công sáng tạo. Mặc dù sự phụ thuộc của cuộc tấn công vào kỹ thuật xã hội cung cấp một con đường phòng ngừa đáng tin cậy thông qua việc nâng cao nhận thức người dùng, nhưng sự tinh vi về kỹ thuật của nó rõ ràng báo hiệu một cuộc chạy đua vũ trang ngày càng leo thang trong lĩnh vực phát triển phần mềm độc hại.
