Các nhà nghiên cứu an ninh mạng hôm nay đã chính thức tiết lộ về một chiến dịch gián điệp mạng tinh vi trực tiếp nhắm tới các tổ chức hàng không vũ trụ và quân sự ở châu Âu và Trung Đông với mục đích theo dõi các nhân viên chủ chốt của các công ty này. Trong một vài trường hợp, chúng còn lén lút đánh cắp tiền của nạn nhân.
Theo một báo cáo mới đây của công ty an ninh mạng ESET, chiến dịch này đã diễn ra từ tháng 9 đến tháng 12 năm 2019, và được đặt tên là “Operation In(ter)ception” vì một phần liên quan đến “Inception” trong mã độc được sử dụng.
“Tình báo là mục tiêu chính của chiến dịch này. Tuy nhiên, một trong những trường hợp mà chúng tôi điều tra được, thì kẻ tấn công đã cố trục lợi bằng cách giả mạo tài khoản email của nạn nhân và thực hiện tấn công lừa đảo email doanh nghiệp (BEC – Business Email Compromise) vào giai đoạn cuối của cuộc tấn công.” – Các nhà báo chia sẻ với TheHackerNews.
Động cơ tài chính đằng sau các cuộc tấn công, cùng với sự tương đồng trong cách chúng nhắm mục tiêu cho đến môi trường phát triển, đã khiến ESET nghi ngờ những kẻ tấn công này chính là Lazarus Group, một nhóm tin tặc khét tiếng được cho là đang hoạt động dưới trướng của chính phủ Triều Tiên để tài trợ cho các chương trình vũ khí và tên lửa bất hợp pháp của nước này.
Tấn công phi kỹ thuật qua LinkedIn
Vì chiến dịch gián điệp này nhắm vào các mục tiêu cấp cao, nên những kẻ tấn công đã dựa vào các thủ thuật tấn công phi kỹ thuật để dụ dỗ nhân viên của các công ty bị nhắm mục tiêu với lời mời làm việc giả bằng cách sử dụng tính năng nhắn tin của LinkedIn, và đóng giả là giám đốc nhân sự của các công ty nổi tiếng trong ngành hàng không vũ trụ và quốc phòng như Collins Aerospace hay General Dynamics.
“Sau khi lấy được lòng tin từ những nhân viên này, kẻ tấn công sẽ gài các tập tin độc hại vào trong cuộc trò chuyện, bằng cách ngụy trang chúng thành các tài liệu liên quan đến công việc được đề nghị”, các nhà nghiên cứu cho biết, dựa trên một cuộc điều tra với hai trong số các công ty châu Âu bị ảnh hưởng.
Các file lưu trữ RAR “bẫy” này được gửi trực tiếp qua các cuộc trò chuyện hoặc qua email bằng tài khoản LinkedIn giả mạo. Sau đó, nó sẽ dẫn nạn nhân đến một đường link OneDrive, nói rằng ở đó có chứa một bản PDF thông tin chi tiết về mức lương của các vị trí công việc. Nhưng thực tế là đường link này đã kích hoạt công cụ Command Prompt trên Windows để thực hiện một loạt các hành vi trái phép như:
- Sao chép công cụ Windows Management Instrumentation command-line (wmic.exe) vào một thư mục cụ thể.
- Đổi tên nó thành một tệp tin có vẻ vô hại để tránh bị phát hiện (ví dụ như: Intel, NVidia, Skype, OneDrive hay Mozilla)
- Tạo các tác vụ theo lịch trình để thực thi tấn công XSL script từ xa thông qua WMIC.
Sau khi đạt được những thành công đầu trong việc xâm nhập vào công ty mục tiêu, kẻ tấn công đã tiếp tục sử dụng một trình tải xuống mã độc tùy chỉnh. Mã độc này sau đó sẽ lần lượt tải xuống một second-stage payload không được ghi nhận trước đó – một C ++ backdoor định kỳ gửi yêu cầu đến máy chủ do kẻ tấn công kiểm soát, và thực hiện các thao tác dựa trên các lệnh đã nhận. Cuối cùng, thực hiện trích xuất thông tin dưới dạng file RAR thông qua một phiên bản sửa đổi của dbxcli – một chương trình command-line mã nguồn mở cho người dùng Dropbox.
Bên cạnh việc sử dụng WMIC để thực thi các XSL scripts từ xa, kẻ tấn công cũng lợi dụng các tiện ích của Windows như “certutil” để giải mã các payload base64-encoded, và “rundll32”, “regsvr32” để chạy mã độc tùy chỉnh.
“Chúng tôi đã tích cực tìm kiếm các hoạt động có liên quan đến sự bảo trợ của nhà nước trên nền tảng của mình và nhanh chóng có những biện pháp can thiệp, chống lại những kẻ tấn công này để bảo vệ quyền lợi của người dùng. Chúng tôi không ngồi chờ cho đến khi bị yêu cầu, mà đã chủ động tìm kiếm và thực hiện các giải pháp phù hợp. Bằng những thông tin đã phát hiện cũng như có được từ nhiều nguồn khác nhau, bao gồm từ các cơ quan chính phủ, đội ngũ kỹ thuật của chúng tôi sẽ thực hiện xóa các tài khoản giả mạo với ý đồ xấu,” Paul Rockwell, Head of Trust and Safety của LinkedIn, chia sẻ với The Hacker News.
“Đội ngũ kỹ thuật của chúng tôi đã áp dụng nhiều công nghệ tự động khác nhau, kết hợp với một team đánh giá và báo cáo được đào tạo sát sao, để bảo vệ người dùng trước mọi hình thức tấn công mạng. Chúng tôi cũng đã nêu rất rõ ràng trong chính sách của mình: mọi hành vi tạo tài khoản giả mạo hoặc hoạt động gian lận với mục đích gây hiểu lầm hay lừa dối người dùng đều bị xem là hành vi vi phạm tới các điều khoản dịch vụ của Linkedin. Trong trường hợp này, chúng tôi đã phát hiện ra các hành vi lợi dụng người dùng thông qua tài khoản giả. Do đó, công ty đã có những hành động xử phạt quyết liệt và chặn vĩnh viễn các tài khoản này.”
Động cơ tài chính đằng sau cuộc tấn công BEC
Bên cạnh mục đích do thám, các nhà nghiên cứu ESET cũng tìm thấy bằng chứng cho thấy những kẻ tấn công này đang cố gắng khai thác các tài khoản bị xâm nhập để lén lút đánh cắp tiền từ các công ty khác.
Mặc dù không thành công, thủ đoạn trục lợi của những kẻ tấn công này đã hoạt động bằng cách lợi dụng các liên lạc email sẵn có giữa tài khoản của nhân viên bị tấn công và khách hàng của công ty để điều hướng việc trả hóa đơn chưa thanh toán đến tài khoản ngân hàng mà chúng kiểm soát.
“Để thực hiện trót lọt mưu đồ này mà không bị nghi ngờ, những kẻ tấn công đã đăng ký một tên miền giống hệt với tên của công ty bị xâm nhập, nhưng trên một tên miền cấp cao khác (top-level domain) và sử dụng một email liên kết với tên miền giả này để liên lạc với khách hàng bị nhắm mục tiêu”, ESET cho biết thêm.
Tuy nhiên cuối cùng thì khách hàng này đã nảy sinh nghi ngờ và liên lạc đến địa chỉ email chính xác của nạn nhân để xác thực lại thông tin. Do đó, khách hàng đã may mắn đánh bại được âm mưu của kẻ tấn công.
“Nghiên cứu của chúng tôi về chiến dịch gián điệp Operation In(ter)ception đã một lần nữa cho thấy phương thức tấn công spear-phishing có thể vô cùng hiệu quả trong việc đánh lừa và thuyết phục nạn nhân nhằm thực hiện một mục đích cụ thể,” các nhà nghiên cứu kết luận.
“Những kẻ tấn công này thường nhắm vào các mục tiêu cấp cao và dựa vào phương thức tấn công phi kỹ thuật qua LinkedIn cùng với mã độc đa cấp tùy chỉnh để thực hiện ý đồ của mình. Để tránh bị phát hiện, những kẻ tấn công này biên tập lại mã độc của chúng thường xuyên, lợi dụng các tiện ích Windows gốc, và ngụy trang chúng dưới dạng phần mềm của các công ty hợp pháp.”
Theo The Hacker News
