Nguyễn Tiến Đạt
Intern Writer
Chiến dịch Dream Job và mục tiêu công nghiệp quốc phòng châu Âu
Các nhà nghiên cứu bảo mật của ESET, Peter Kálnai và Alexis Rapin, vừa công bố báo cáo về một làn sóng tấn công nhắm vào công ty châu Âu trong ngành công nghiệp quốc phòng, nằm trong chiến dịch dài hạn được gọi là Chiến dịch Dream Job. Nhiều mục tiêu có liên quan tới máy bay không người lái (UAV), gợi ý chiến dịch có thể phục vụ nỗ lực của Triều Tiên trong việc mở rộng chương trình UAV của họ.
ESET cho biết họ bắt đầu theo dõi chiến dịch từ cuối tháng 3 năm 2025. Một số thực thể bị tấn công gồm công ty kỹ thuật kim loại ở Đông Nam Âu, nhà sản xuất linh kiện hàng không tại Trung Âu và một công ty quốc phòng ở Trung Âu.
Chiến dịch này được cho là do nhóm tin tặc khét tiếng liên hệ Triều Tiên Lazarus Group thực hiện, nhóm còn được biết dưới nhiều bí danh như APT-Q-1, Black Artemis, Diamond Sleet, Hidden Cobra, TEMP.Hermit và UNC2970, hoạt động ít nhất từ năm 2009. Chiến dịch Dream Job lần đầu được ClearSky (Israel) phanh phui năm 2020 và tiếp tục phát triển với kỹ thuật xã hội tinh vi nhằm lừa mục tiêu.
Phương thức tấn công, phần mềm độc hại và hậu quả kỹ thuật
Mục tiêu nhận được lời mời tuyển dụng giả mạo kèm tài liệu mô tả công việc và một trình đọc PDF bị trojan hóa. Khi mở, chuỗi tấn công thực thi một tệp nhị phân; nó tải một DLL độc hại triển khai ScoringMathTea và/hoặc kích hoạt trình tải BinMergeLoader - trình tải tinh vi hoạt động tương đồng với MISTPEN. BinMergeLoader tận dụng Microsoft Graph API và các mã thông báo để tải thêm các phần tải trọng.
ESET mô tả các biến thể lây nhiễm thay thế: một dropper không xác định được dùng để phân phối hai tải trọng tạm thời; tải trọng thứ nhất tiếp tục tải tải trọng thứ hai, dẫn đến triển khai ScoringMathTea - một RAT (remote access trojan) tiên tiến hỗ trợ khoảng 40 lệnh, cho phép kẻ tấn công chiếm toàn quyền kiểm soát máy bị xâm phạm.
Theo hồ sơ, ScoringMathTea (còn gọi ForestTiger) lần đầu xuất hiện tháng 10/2022 và đã được ESET liên kết với các cuộc tấn công trước đó nhắm vào công ty công nghệ Ấn Độ và nhà thầu quốc phòng Ba Lan. MISTPEN được Google Mandiant ghi nhận vào tháng 9/2024 trong các xâm nhập nhắm vào lĩnh vực năng lượng và hàng không vũ trụ.
ESET nhấn mạnh rằng trong gần ba năm, Lazarus duy trì phương thức hoạt động nhất quán: trojan hóa ứng dụng nguồn mở, triển khai tải trọng ưa thích là ScoringMathTea và dùng các chuỗi tấn công dễ lặp lại nhưng đủ đa hình để trốn tránh phát hiện dù vẫn để lại dấu vết giúp quy kết. Báo cáo cũng chỉ ra sự trùng lặp hoạt động với các nhóm/mô-đun đã biết như DeathNote, NukeSped, Operation In(ter)ception và Operation North Star. (Thehackernews)
Các nhà nghiên cứu bảo mật của ESET, Peter Kálnai và Alexis Rapin, vừa công bố báo cáo về một làn sóng tấn công nhắm vào công ty châu Âu trong ngành công nghiệp quốc phòng, nằm trong chiến dịch dài hạn được gọi là Chiến dịch Dream Job. Nhiều mục tiêu có liên quan tới máy bay không người lái (UAV), gợi ý chiến dịch có thể phục vụ nỗ lực của Triều Tiên trong việc mở rộng chương trình UAV của họ.
ESET cho biết họ bắt đầu theo dõi chiến dịch từ cuối tháng 3 năm 2025. Một số thực thể bị tấn công gồm công ty kỹ thuật kim loại ở Đông Nam Âu, nhà sản xuất linh kiện hàng không tại Trung Âu và một công ty quốc phòng ở Trung Âu.
Chiến dịch này được cho là do nhóm tin tặc khét tiếng liên hệ Triều Tiên Lazarus Group thực hiện, nhóm còn được biết dưới nhiều bí danh như APT-Q-1, Black Artemis, Diamond Sleet, Hidden Cobra, TEMP.Hermit và UNC2970, hoạt động ít nhất từ năm 2009. Chiến dịch Dream Job lần đầu được ClearSky (Israel) phanh phui năm 2020 và tiếp tục phát triển với kỹ thuật xã hội tinh vi nhằm lừa mục tiêu.
Phương thức tấn công, phần mềm độc hại và hậu quả kỹ thuật
Mục tiêu nhận được lời mời tuyển dụng giả mạo kèm tài liệu mô tả công việc và một trình đọc PDF bị trojan hóa. Khi mở, chuỗi tấn công thực thi một tệp nhị phân; nó tải một DLL độc hại triển khai ScoringMathTea và/hoặc kích hoạt trình tải BinMergeLoader - trình tải tinh vi hoạt động tương đồng với MISTPEN. BinMergeLoader tận dụng Microsoft Graph API và các mã thông báo để tải thêm các phần tải trọng.
ESET mô tả các biến thể lây nhiễm thay thế: một dropper không xác định được dùng để phân phối hai tải trọng tạm thời; tải trọng thứ nhất tiếp tục tải tải trọng thứ hai, dẫn đến triển khai ScoringMathTea - một RAT (remote access trojan) tiên tiến hỗ trợ khoảng 40 lệnh, cho phép kẻ tấn công chiếm toàn quyền kiểm soát máy bị xâm phạm.
Theo hồ sơ, ScoringMathTea (còn gọi ForestTiger) lần đầu xuất hiện tháng 10/2022 và đã được ESET liên kết với các cuộc tấn công trước đó nhắm vào công ty công nghệ Ấn Độ và nhà thầu quốc phòng Ba Lan. MISTPEN được Google Mandiant ghi nhận vào tháng 9/2024 trong các xâm nhập nhắm vào lĩnh vực năng lượng và hàng không vũ trụ.
ESET nhấn mạnh rằng trong gần ba năm, Lazarus duy trì phương thức hoạt động nhất quán: trojan hóa ứng dụng nguồn mở, triển khai tải trọng ưa thích là ScoringMathTea và dùng các chuỗi tấn công dễ lặp lại nhưng đủ đa hình để trốn tránh phát hiện dù vẫn để lại dấu vết giúp quy kết. Báo cáo cũng chỉ ra sự trùng lặp hoạt động với các nhóm/mô-đun đã biết như DeathNote, NukeSped, Operation In(ter)ception và Operation North Star. (Thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
