Chiến dịch lợi dụng phần mềm hợp pháp của nhóm Lazarus
Nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky đã trình bày những phát hiện về chiến dịch mới của nhóm tin tặc Lazarus nhắm vào các tổ chức trên toàn thế giới tại Hội nghị thượng đỉnh phân tích bảo mật (SAS). Cuộc tấn công có chủ đích này nhằm lây lan phần mềm độc hại qua phần mềm hợp pháp của công ty.
Trong đó, các mục tiêu bị lây nhiễm qua phần mềm độc hại giả dạng phần mềm hợp pháp, được thiết kế để mã hóa lưu lượng truy cập web bằng chứng thư số (digital certificate). Tuy nhiên, các tổ chức trên toàn thế giới tiếp tục sử dụng phiên bản phần mềm bị trục trặc ngay cả sau khi các lỗ hổng được phát hiện và vá, điều này tạo cơ hội cho nhóm Lazarus thực hiện hành vi tấn công mạng.
Những kẻ tấn công chủ yếu nhắm mục tiêu vào kỹ sư hạt nhân, nhà thầu quốc phòng và thị trường tiền điện tử. Ngoài việc đóng vai trò là điểm lây nhiễm đầu tiên, phần mềm độc hại này còn thu thập thông tin nhằm lập hồ sơ nạn nhân.
Phần mềm độc hại của nhóm Lazarus chủ yếu nhắm đến nhà cung cấp phần mềm. Tần suất các cuộc tấn công diễn ra liên tục cho thấy động cơ phá vỡ chuỗi cung ứng phần mềm và quyết tâm đánh cắp mã nguồn quan trọng của công ty của nhóm tin tặc này. Kẻ tấn công liên tục khai thác các lỗ hổng trong phần mềm của công ty và mở rộng phạm vi lây lan bằng cách nhắm vào các công ty khác sử dụng phiên bản chưa được vá.
Phần mềm độc hại StripedFly có hơn 1 triệu nạn nhân kể từ năm 2017
Theo chuyên gia Kaspersky, ban đầu, StripedFly hoạt động như một công cụ khai thác tiền điện tử. Thế nhưng sau đó lại được phát hiện là một phần mềm độc hại phức tạp với cấu trúc lây lan đa chức năng (multi-functional wormable framework).
Hoạt động của phần mềm độc hại StripedFly diễn ra ít nhất từ năm 2017 và đã tránh được sự quan sát trước đó bởi chúng thường được nhầm lẫn với các công cụ khai thác tiền điện tử thông thường. Sau khi xem xét kỹ lưỡng vấn đề, các chuyên gia phát hiện ra rằng công cụ khai thác tiền điện tử thực chất chỉ là một phần nhỏ của một thực thể lớn hơn nhiều của StripedFly - một cấu trúc độc hại được xây dựng phức tạp, đa nền tảng và đa plugin.
Phần mềm độc hại bao gồm nhiều module, kẻ tấn công hoạt động như một APT (tấn công mạng có chủ đích), một công cụ khai thác tiền điện tử, thậm chí là một nhóm ransomware và những nhóm đối tượng này hoàn toàn có khả năng thay đổi mục đích tấn công từ việc thu lợi tài chính sang hoạt động gián điệp.
Đáng chú ý, tiền điện tử Monero được khai thác bởi module này đã đạt giá trị cao nhất là 542,33 USD vào ngày 09/01/2018, cao hơn 10 USD so với giá trị của năm 2017. Tính đến năm 2023, loại tiền điện tử này vẫn duy trì giá trị khoảng 150 USD. Các chuyên gia Kaspersky cũng nhấn mạnh rằng module khai thác là yếu tố chính giúp phần mềm độc hại này tránh bị phát hiện trong thời gian dài.
Kẻ tấn công đằng sau hoạt động này sở hữu khả năng chuyên môn để bí mật theo dõi mục tiêu. Phần mềm độc hại thu thập thông tin xác thực hai giờ một lần, lấy cắp dữ liệu nhạy cảm như thông tin đăng nhập trên trang web và Wi-Fi, cùng với các dữ liệu cá nhân như tên, địa chỉ, số điện thoại, công ty và chức danh công việc.
Không những thế, phần mềm độc hại có thể chụp ảnh màn hình trên thiết bị của nạn nhân mà không bị phát hiện, hoàn toàn kiểm soát được thiết bị và thậm chí ghi âm nạn nhân thông qua đầu vào của micro.
Để phòng ngừa nguy cơ trở thành nạn nhân của một cuộc tấn công có chủ đích, các nhà nghiên cứu của Kaspersky khuyên người dùng thực hiện các biện pháp sau:
- Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống virus để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật.
- Hãy thận trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Xác minh danh tính người yêu cầu thông tin trước khi chia sẻ dữ liệu cá nhân nào hoặc nhấp vào các liên kết đáng ngờ.
- Cấp quyền truy cập về những thông tin tình báo các mối đe dọa mới nhất cho Trung tâm điều hành an ninh (SOC) nhằm cung cấp thông tin tình báo các mối đe dọa, dữ liệu tấn công mạng./.
