Tin tức an ninh mạng này ghi nhận một chiến dịch gian lận mạng kéo dài nhiều năm, trong đó các tác nhân giả danh nhân sự IT làm việc từ xa để được tuyển dụng vào doanh nghiệp toàn cầu. Mô hình này không dựa trên lỗ hổng CVE, nhưng tạo ra rủi ro bảo mật đáng kể ở khâu tuyển dụng, truy cập nội bộ và luồng thanh toán.
Tin tức an ninh mạng về mô hình giả danh remote IT worker
Nhóm vận hành sử dụng danh tính bị đánh cắp, sơ yếu lý lịch giả và thông tin nghề nghiệp bịa đặt để vượt qua quy trình tuyển dụng. Mục tiêu chủ yếu là các vị trí phát triển phần mềm từ xa tại doanh nghiệp ở Mỹ và châu Âu. Trong một số buổi phỏng vấn, đối tượng chuyển cuộc trao đổi từ video sang thoại hoặc nhắn tin với lý do lỗi kỹ thuật, trong khi một người khác xuất hiện trên màn hình.
Chiến dịch này đã hoạt động từ ít nhất 2017 và mở rộng sang nhiều khu vực, nhiều ngành, cũng như các tổ chức có quy mô lớn hơn. Thu nhập của từng cá nhân có thể lên tới 300.000 USD/năm, trong đó phần lớn dòng tiền được chuyển ngược về cho hệ thống vận hành phía sau.
Hạ tầng liên quan và tín hiệu điều tra
Phân tích của Team Cymru xác định một phần hạ tầng liên quan khi tên miền luckyguys[.]site được gắn với các khoản thanh toán của nhóm IT giả mạo. Tại thời điểm phân tích, tên miền này phân giải về địa chỉ IP 163.245.219[.]19. Nhóm nghiên cứu đã xem xét 30 ngày lưu lượng mạng liên quan để dựng lại cách thức vận hành, liên lạc và luân chuyển tiền mà không kích hoạt cảnh báo an ninh.
Hành vi hạ tầng cho thấy việc theo dõi rất sát sau khi công bố. Lưu lượng giảm nhanh sau khi tên miền bị nêu công khai, cho thấy các tác nhân có thể rút bỏ hạ tầng ngay khi bị quy kết. Mẫu hành vi này phù hợp với cách thay đổi hạ tầng nhanh để tránh bị phát hiện.
Các chỉ dấu hạ tầng đáng chú ý
- Domain: luckyguys[.]site
- IP: 163.245.219[.]19
- IP cần giám sát: 216.158.225[.]144
Tin bảo mật mới nhất: kỹ thuật che giấu vị trí và truy cập
Phân tích lưu lượng cho thấy nhóm này phụ thuộc nhiều vào VPN thương mại để che giấu vị trí thật. Các dịch vụ được quan sát nhiều gồm Astrill VPN ở mức 37,5%, Mullvad ở mức 32,25% và Proton VPN ở mức 6,25%.
Các dịch vụ này giúp lưu lượng đi qua các exit node tại Mỹ, khiến hệ thống nhận diện chúng như người dùng nội địa thông thường. Ngoài ra, mạng còn ghi nhận kết nối tới Gmail, ChatGPT và Workana, cho thấy các nền tảng email, AI và freelance có thể xuất hiện trong chuỗi hoạt động tuyển dụng giả mạo.
Chỉ báo mạng cần theo dõi
- VPN: Astrill VPN, Mullvad, Proton VPN
- Dịch vụ liên quan: Gmail, ChatGPT, Workana
- Đích mạng cần flag: 216.158.225[.]144, 163.245.219[.]19
Cảnh báo CVE không áp dụng, nhưng rủi ro bảo mật ở mức hệ thống
Đây không phải lỗ hổng zero-day hay CVE nghiêm trọng, mà là một chuỗi xâm nhập trái phép dựa trên social engineering, chiếm đoạt danh tính và lạm dụng quy trình tuyển dụng. Từ cuối năm 2024, các hoạt động này còn leo thang sang hành vi tống tiền: đánh cắp dữ liệu nhạy cảm và mã nguồn từ nhà tuyển dụng, sau đó đòi tiền chuộc.
Điểm kỹ thuật đáng chú ý là các địa chỉ IP dân cư từ Mỹ và Latvia đã trao đổi với hạ tầng liên quan trong giai đoạn quan sát. Điều này gợi ý việc dùng hệ thống tại nhà hoặc laptop farm, trong đó máy do doanh nghiệp cung cấp được đặt tại địa chỉ do bên trung gian quản lý.
Với mô hình này, cảnh báo CVE hay bản vá phần mềm không giải quyết trực tiếp nguyên nhân. Trọng tâm là kiểm soát danh tính, xác thực hồ sơ, phân tích hành vi truy cập và giám sát lưu lượng mạng bất thường.
Phần thân bài: biện pháp giám sát và phát hiện xâm nhập
Các tổ chức nên coi IP dân cư là tín hiệu không đủ tin cậy nếu đi kèm proxy-hosting hoặc hành vi tunnel bất thường. Việc dùng VPN từ các nhà cung cấp từng liên quan tới hoạt động gian lận nên được xem là chỉ dấu rủi ro. Quy trình tuyển dụng qua nền tảng freelancer toàn cầu cần được kiểm tra kỹ hơn ở bước onboarding.
Đối với đội ngũ phát hiện tấn công, lưu lượng hướng tới các IP sau nên được đưa vào danh sách điều tra:
- 216.158.225[.]144
- 163.245.219[.]19
Khi phát hiện kết nối từ IP dân cư nhưng có dấu hiệu proxy, nên kiểm tra thêm nhật ký đăng nhập, vị trí địa lý, lịch sử thiết bị, và các phiên làm việc trùng thời điểm với hoạt động tuyển dụng hoặc thanh toán.
Tham chiếu và nguồn phân tích
Báo cáo gốc và phân tích hạ tầng có thể đối chiếu tại Team Cymru: https://www.team-cymru.com/post/dprk-fake-it-worker-cyber-threat-actors-infrastructure.
Đây là nguồn hữu ích để kiểm tra thêm các chỉ dấu hạ tầng, mẫu lưu lượng và các khuyến nghị phát hiện xâm nhập liên quan đến mô hình giả danh IT worker.
