Nhóm APT BlueNoroff, một nhánh của Lazarus do Triều Tiên hậu thuẫn, đang triển khai chiến dịch tấn công mạng tinh vi nhắm vào các tổ chức liên quan đến tiền mã hóa và cờ bạc trực tuyến. Chiến dịch này lợi dụng nền tảng họp trực tuyến Zoom như một kênh truyền mã độc nhằm đánh cắp thông tin người dùng.
Theo phân tích từ nhóm Field Effect, tin tặc sử dụng kỹ thuật giả mạo danh tính người quen để mời nạn nhân tham gia cuộc gọi Zoom. Trong cuộc họp, nạn nhân được hướng dẫn tải về và chạy một tập tin được ngụy trang là “công cụ sửa âm thanh”. Tập tin này thực chất là một đoạn mã độc AppleScript, bên ngoài trông vô hại nhưng được thiết kế tinh vi để che giấu nội dung nguy hiểm.
Sau khi được kích hoạt, mã độc âm thầm kết nối đến một tên miền giả mạo có tên tương tự Zoom để tải thêm các tập tin độc hại khác. Quá trình này diễn ra theo nhiều bước: đầu tiên là tải một đoạn mã phụ, sau đó yêu cầu người dùng nhập thông tin đăng nhập hệ thống với lý do giả là “xác thực cập nhật”. Ngay sau đó, thông tin đăng nhập được gửi về máy chủ của tin tặc và tiếp tục được sử dụng để cài cắm các phần mềm đánh cắp dữ liệu sâu hơn.
Loại mã độc mà BlueNoroff sử dụng trong chiến dịch này có thể đánh cắp hàng loạt thông tin nhạy cảm như mật khẩu lưu trong hệ thống (Keychain của macOS), dữ liệu đăng nhập trình duyệt (đặc biệt là Chrome và Brave, hai trình duyệt phổ biến trong cộng đồng sử dụng tiền mã hóa), cookie, lịch sử truy cập và thậm chí cả thông tin về thiết bị và mạng nội bộ. Tất cả các dữ liệu trên được thu thập một cách âm thầm và gửi về máy chủ điều khiển trước khi bất kỳ cảnh báo nào có thể xuất hiện.
Để đảm bảo mã độc không bị gỡ bỏ, tin tặc còn thiết lập cơ chế tự khởi động cùng hệ thống bằng cách tạo ra một dịch vụ nền (LaunchDaemon), được ngụy trang dưới tên gọi gần giống với các tiến trình hợp pháp của hệ thống, khiến người dùng khó phát hiện. Ngoài ra, toàn bộ dấu vết hoạt động đều được xóa ngay sau khi hoàn thành nhằm né tránh các công cụ giám sát bảo mật.
Cơ sở hạ tầng của chiến dịch cũng cho thấy mức độ tổ chức bài bản. Nhóm tấn công sử dụng hàng loạt tên miền giả mạo có giao diện gần giống Zoom để đánh lừa người dùng. Một số mã độc thậm chí còn được lưu trữ trên GitHub, núp bóng dưới dạng các công cụ bảo mật mã nguồn mở để tránh bị nghi ngờ. Các tên miền độc hại được đăng ký liên tục, có dấu hiệu liên quan về kỹ thuật và hạ tầng đến BlueNoroff/APT38.
Theo các chuyên gia an ninh mạng, chiến dịch tấn công lợi dụng nền tảng họp trực tuyến như Zoom là minh chứng rõ cho thấy ranh giới giữa các công cụ làm việc hợp pháp và công cụ phát tán mã độc đang ngày càng mờ nhạt. Do đó, các tổ chức và cá nhân cần chủ động tăng cường các biện pháp phòng vệ sau:
Sau khi được kích hoạt, mã độc âm thầm kết nối đến một tên miền giả mạo có tên tương tự Zoom để tải thêm các tập tin độc hại khác. Quá trình này diễn ra theo nhiều bước: đầu tiên là tải một đoạn mã phụ, sau đó yêu cầu người dùng nhập thông tin đăng nhập hệ thống với lý do giả là “xác thực cập nhật”. Ngay sau đó, thông tin đăng nhập được gửi về máy chủ của tin tặc và tiếp tục được sử dụng để cài cắm các phần mềm đánh cắp dữ liệu sâu hơn.
Loại mã độc mà BlueNoroff sử dụng trong chiến dịch này có thể đánh cắp hàng loạt thông tin nhạy cảm như mật khẩu lưu trong hệ thống (Keychain của macOS), dữ liệu đăng nhập trình duyệt (đặc biệt là Chrome và Brave, hai trình duyệt phổ biến trong cộng đồng sử dụng tiền mã hóa), cookie, lịch sử truy cập và thậm chí cả thông tin về thiết bị và mạng nội bộ. Tất cả các dữ liệu trên được thu thập một cách âm thầm và gửi về máy chủ điều khiển trước khi bất kỳ cảnh báo nào có thể xuất hiện.
Để đảm bảo mã độc không bị gỡ bỏ, tin tặc còn thiết lập cơ chế tự khởi động cùng hệ thống bằng cách tạo ra một dịch vụ nền (LaunchDaemon), được ngụy trang dưới tên gọi gần giống với các tiến trình hợp pháp của hệ thống, khiến người dùng khó phát hiện. Ngoài ra, toàn bộ dấu vết hoạt động đều được xóa ngay sau khi hoàn thành nhằm né tránh các công cụ giám sát bảo mật.
Cơ sở hạ tầng của chiến dịch cũng cho thấy mức độ tổ chức bài bản. Nhóm tấn công sử dụng hàng loạt tên miền giả mạo có giao diện gần giống Zoom để đánh lừa người dùng. Một số mã độc thậm chí còn được lưu trữ trên GitHub, núp bóng dưới dạng các công cụ bảo mật mã nguồn mở để tránh bị nghi ngờ. Các tên miền độc hại được đăng ký liên tục, có dấu hiệu liên quan về kỹ thuật và hạ tầng đến BlueNoroff/APT38.
Theo các chuyên gia an ninh mạng, chiến dịch tấn công lợi dụng nền tảng họp trực tuyến như Zoom là minh chứng rõ cho thấy ranh giới giữa các công cụ làm việc hợp pháp và công cụ phát tán mã độc đang ngày càng mờ nhạt. Do đó, các tổ chức và cá nhân cần chủ động tăng cường các biện pháp phòng vệ sau:
- Không thực hiện các thao tác kỹ thuật trong cuộc gọi trực tuyến, như tải và cài đặt phần mềm, trừ khi đã được xác minh rõ ràng qua kênh nội bộ chính thức. Tin tặc hiện nay thường lợi dụng các tình huống “hỗ trợ kỹ thuật khẩn cấp” để khiến nạn nhân mất cảnh giác
- Tuyệt đối không tải về và chạy các tệp lạ, dù được gửi từ tài khoản người quen. Các chuyên gia nhấn mạnh rằng kỹ thuật giả mạo danh tính trong tấn công APT ngày càng khó phát hiện, đặc biệt khi tài khoản đã bị chiếm quyền từ trước
- Luôn cập nhật hệ điều hành và phần mềm bảo mật nhằm vá các lỗ hổng có thể bị khai thác. Với hệ điều hành macOS, cần đảm bảo các tính năng như Gatekeeper và System Integrity Protection (SIP) được bật đầy đủ
- Triển khai các giải pháp giám sát hành vi tiên tiến (EDR, MDR) để phát hiện sớm các dấu hiệu lây nhiễm, như hành vi sử dụng curl/rsync bất thường, tạo LaunchDaemon trái phép hoặc script tự động yêu cầu quyền truy cập hệ thống
- Tổ chức các buổi huấn luyện định kỳ về nhận thức an ninh mạng, đặc biệt tập trung vào các chiêu trò lừa đảo qua họp trực tuyến, tệp đính kèm và kỹ thuật giả mạo trong môi trường làm việc kết hợp và từ xa như hiện nay
Chiến dịch của BlueNoroff cho thấy rõ: các nhóm APT giờ không cần phá cửa, mà chỉ cần bước qua những nền tảng quen thuộc như Zoom, email hay Google Docs – nơi người dùng chủ động mở cửa. Khi ranh giới giữa công cụ làm việc và vũ khí mạng ngày càng mờ nhạt, thì bảo mật không còn là tùy chọn mà là điều kiện sống còn trong cuộc chiến số âm thầm.
Theo WhiteHat.vn
