Trong bối cảnh mối đe dọa mạng ngày càng phức tạp, các đối thủ đang chuyển hướng sang các phương pháp xâm nhập “không mã độc” (malware-less) để vượt qua các lớp phòng thủ truyền thống. Một chiến lược đặc biệt tinh vi liên quan đến các đặc vụ Triều Tiên giả mạo làm chuyên gia IT từ xa hợp pháp nhằm thâm nhập vào mạng lưới doanh nghiệp. Kiểu tấn công này đặt ra một thách thức nghiêm trọng cho an ninh mạng hiện tại.
Tác Động Của Mối Đe Dọa Mạng Không Mã Độc
Các phương thức tấn công không sử dụng mã độc đại diện cho một thách thức đáng kể đối với hạ tầng an ninh mạng hiện đại. Thay vì dựa vào các tệp đính kèm độc hại, liên kết lừa đảo rõ ràng, hoặc các lỗ hổng CVE dễ bị khai thác, những cuộc tấn công này khai thác yếu tố tin cậy. Chúng lợi dụng quy trình làm việc thông thường để đạt được mục tiêu, làm cho chúng cực kỳ khó phát hiện bằng các giải pháp bảo mật dựa trên chữ ký hoặc mô hình hành vi bất thường rõ rệt.
Chiến Dịch Thâm Nhập Tinh Vi Của Đặc Vụ Triều Tiên
Các nhà nghiên cứu của Trellix gần đây đã phát hiện một chiến dịch trong đó một ứng viên giả mạo đã vượt qua các giai đoạn tuyển dụng tại một nhà cung cấp dịch vụ chăm sóc sức khỏe lớn của Hoa Kỳ. Ứng viên này chỉ bị phát hiện nhờ vào hoạt động săn lùng mối đe dọa chủ động (proactive threat hunting) và đối chiếu thông tin tình báo nguồn mở (OSINT). Chiến dịch này minh họa rõ nét sự cần thiết của một cách tiếp cận bảo mật toàn diện để chống lại các mối đe dọa mạng ngày càng tinh vi.
Cụ thể, đội ngũ tuyển dụng của nhà cung cấp dịch vụ y tế đã mời ứng viên “Kyle Lankford” hoàn thành bài đánh giá mã hóa cho vị trí Kỹ sư Phần mềm Chính. Quy trình ứng tuyển diễn ra theo các bước dự kiến: nhà tuyển dụng gửi hướng dẫn qua email từ địa chỉ công ty vào ngày 10 tháng 7, ứng viên hoàn thành bài đánh giá vào ngày 16 tháng 7 và gửi email theo dõi vào ngày 4 tháng 8. Mỗi tương tác đều có vẻ hoàn toàn bình thường, với các URL hợp lệ, tiêu đề DMARC được căn chỉnh đúng và không có tệp đính kèm chứa mã độc hại. Trellix đã công bố chi tiết về chiến dịch này, cung cấp các chỉ số giá trị cho cộng đồng bảo mật.
Phân Tích Kỹ Thuật Các Hoạt Động Khai Thác
Phân tích sâu hơn về email theo dõi đã tiết lộ siêu dữ liệu được căn chỉnh hoàn hảo. Email này có địa chỉ IP do Gmail lưu trữ (209.85.128.196), các liên kết hợp pháp đến các bài viết trợ giúp của CodeSignal được bao bọc bởi hệ thống bảo vệ URL an toàn của công ty, và một tệp logo chữ ký vô hại. Điểm đáng chú ý là không có payload độc hại hoặc URL lừa đảo nào xuất hiện.
Sự vắng mặt của các chỉ số độc hại truyền thống là lý do tại sao kỹ thuật này lại khó phát hiện nếu không có threat intelligence chủ động và các công cụ săn lùng mối đe dọa tiên tiến. Các tổ chức không thể chỉ dựa vào các biện pháp kiểm soát phản ứng khi các đối thủ hòa nhập một cách liền mạch vào quy trình làm việc hàng ngày. Điều này làm gia tăng đáng kể rủi ro từ các mối đe dọa mạng.
Rủi Ro Bảo Mật Từ Các Chiến Dịch Xâm Nhập Dựa Trên Niềm Tin
Kế hoạch đặc vụ IT của Triều Tiên đặt ra nhiều rủi ro nghiêm trọng cho các tổ chức mục tiêu. Đầu tiên là nguy cơ vi phạm lệnh trừng phạt không chủ ý, có thể dẫn đến việc chuyển hàng triệu đô la cho Bình Nhưỡng. Thứ hai là đánh cắp tài sản trí tuệ (IP theft) có giá trị cao và tài trợ bất hợp pháp cho các chương trình vũ khí và không gian mạng của Triều Tiên. Cuối cùng, có nguy cơ phá hoại chuỗi cung ứng (supply chain sabotage) thông qua việc đóng góp mã độc hại vào các dự án phần mềm, gây ra những hậu quả dài hạn nghiêm trọng và khó lường.
Các hành động gần đây của Bộ Tư pháp Hoa Kỳ vào tháng 6 năm 2025 đã làm gián đoạn hơn 100 mạng lưới gian lận, chứng minh quy mô rộng lớn của các chiến dịch lừa đảo dựa trên việc tuyển dụng này. Điều này nhấn mạnh tính chất phổ biến và dai dẳng của mối đe dọa mạng kiểu này, đòi hỏi một sự phản ứng mạnh mẽ và phối hợp từ các tổ chức.
Tầm Quan Trọng Của Threat Intelligence Mở (OSINT)
Trong năm 2025, công trình OSINT độc lập của nhà phân tích @SttyK đã tiết lộ khoảng 1.400 địa chỉ email liên quan đến các đặc vụ IT Triều Tiên đang tìm kiếm việc làm tại các tổ chức phương Tây. Việc công bố danh sách các chỉ số này đã cung cấp một nguồn cấp dữ liệu giá trị cho các công cụ săn lùng mối đe dọa trên toàn thế giới. Thông tin thêm về tiềm năng của OSINT có thể được tìm thấy tại GBHackers.
Các nhóm bảo mật đã tận dụng dữ liệu từ xa (telemetry) và dịch vụ săn lùng mối đe dọa SecondSight của Trellix để đối chiếu các địa chỉ này với các giao tiếp đến, một nỗ lực đã sớm mang lại hiệu quả trong việc phát hiện các hoạt động đáng ngờ. Sự kết hợp giữa OSINT và telemetry là chìa khóa để nhận diện các mối đe dọa mạng tiềm ẩn.
Indicators of Compromise (IOCs)
Dựa trên phân tích các hoạt động của chiến dịch được Trellix và các nhà nghiên cứu OSINT công bố, các Indicators of Compromise (IOCs) sau đây đã được xác định:
- Địa chỉ IP liên quan:
209.85.128.196(địa chỉ IP do Gmail lưu trữ được sử dụng trong email theo dõi từ ứng viên giả mạo). - Mẫu địa chỉ email: Khoảng 1.400 địa chỉ email liên quan đến đặc vụ IT Triều Tiên (không có danh sách cụ thể trong nội dung nguồn, nhưng số lượng và bản chất là một chỉ số quan trọng).
- Kỹ thuật tấn công: Giả mạo hồ sơ IT chuyên nghiệp, lạm dụng quy trình tuyển dụng hợp pháp.
Chiến Lược Phòng Thủ Toàn Diện Cho An Ninh Mạng Hiện Đại
Phòng thủ hiệu quả đòi hỏi sự kết hợp giữa threat intelligence có độ tin cậy cao và khả năng săn lùng mối đe dọa chủ động. Các nhóm bảo mật nên tích hợp các nguồn cấp dữ liệu OSINT—chẳng hạn như danh sách các địa chỉ email liên quan đến Triều Tiên—trực tiếp vào nền tảng bảo mật email và Hệ thống Quản lý Sự kiện và Thông tin Bảo mật (SIEM).
Tích Hợp Threat Intelligence và Phát Hiện Chủ Động
Các quy tắc tương quan tự động trong SIEM có thể gắn cờ ngay cả những email ứng tuyển có vẻ vô hại khi các chỉ số phù hợp. Ví dụ, việc phát hiện email từ các địa chỉ IP hoặc tên miền không phù hợp với nguồn gốc địa lý dự kiến, hoặc trùng khớp với danh sách đen OSINT, có thể kích hoạt cảnh báo. Việc triển khai các quy tắc này là rất quan trọng để phát hiện sớm các mối đe dọa mạng tiềm tàng. Việc lựa chọn công cụ SIEM phù hợp là rất quan trọng để triển khai các chiến lược này.
Ngoài ra, việc xác thực lý lịch thường xuyên đối với nhân viên từ xa, kết hợp với giám sát dữ liệu từ xa (telemetry monitoring) của các tài khoản nhân viên mới, có thể phát hiện các điểm bất thường. Các điểm bất thường này bao gồm hoạt động đăng nhập từ các vị trí địa lý khác lạ, truy cập vào tài nguyên không liên quan đến vai trò công việc, hoặc các mẫu hành vi không điển hình, tất cả đều có thể báo hiệu một sự xâm nhập hoặc mối đe dọa nội bộ đang hình thành.
Như trường hợp này minh họa, những mối đe dọa mạng nguy hiểm nhất có thể xuất hiện dưới hình thức cộng tác viên hợp pháp. Một cách tiếp cận chủ động, dựa trên thông tin tình báo là điều cần thiết để vạch trần các đối thủ ẩn mặt trước khi chúng có thể tạo được chỗ đứng vững chắc trong hệ thống.
Đầu tư vào săn lùng mối đe dọa tùy chỉnh và các quy trình tình báo mạnh mẽ là một sự thay đổi cần thiết từ việc phát hiện thụ động sang phòng thủ chủ động. Trong một kỷ nguyên mà việc không có mã độc không còn đảm bảo an toàn, các tổ chức phải luôn cảnh giác, liên tục phát triển các chiến lược phát hiện của mình và săn lùng các mối đe dọa mạng tìm cách khai thác chính niềm tin.
