Lazarus nhằm vào các chuyên gia bảo mật qua MXH

Có nhiều nghiên cứu cho thấy nhóm tấn công có chủ đích đến từ Triều Tiên, được cho là Lazarus đã nhắm mục tiêu vào các nhà nghiên cứu bảo mật vào tháng một. Chiến dịch này sử dụng một công ty ma cùng với các tài khoản mạng xã hội nhằm dẫn dắt các chuyên gia bảo mật vào bẫy gián điệp mạng.

Theo một bài đăng của tổ chức Google Threat Analytics công bố trước đó, các chuyên gia đã phát hiện ra trang web, tài khoản Twitter, LinkedIn của một công ty ma có tên là “SecuriElite” - một công ty bảo mật tự xưng đặt tại Thổ Nhĩ Kỳ. Các chuyên gia cho biết, công ty này tuyên bố cung cấp các dịch vụ kiểm thử xâm nhập, khai thác và đánh giá tính bảo mật của phần mềm.

Tuy nhiên, có những dấu hiệu rõ ràng cho thấy công ty này và các trang web, tài khoản liên kết của nó hoàn toàn là giả mạo. Thực chất đây là “tác phẩm” của Zinc, một nhóm APT Triều Tiên và được cho là có liên quan đến Lazarus.

Hơn nữa, dù các nhà nghiên cứu chưa khẳng định được mục đích cụ thể cuối cùng của các website và profile giả mạo trên, thì theo Google TAG, nhiều khả năng nhóm tin tặc này đã lại đang chuẩn bị cho chiến dịch tấn công mới nhằm vào các chuyên gia bảo mật.

Các chuyên gia nhận thấy, cũng giống như những trang web Zinc thiết lập trước đây mà Google TAG đã quan sát,  trang web SecuriElite có chứa đường dẫn tới một khoá PGP của nhóm.

Bài đăng cho biết “Vào tháng 1, các nhà nghiên cứu bị nhắm đến đã báo cáo rằng khoá PGP có mục đích nhằm đánh lừa truy cập trang web, nơi một mã khai thác đang chờ sẵn để kích hoạt.

Các nhà nghiên cứu chia sẻ: “Trên LinkedIn, chúng tôi đã xác định được hai tài khoản mạo danh nhà tuyển dụng đến từ công ty bảo mật và anti virus”, bao gồm ảnh chụp màn hình của các profile và tweet từ SecuriElite.

Tuy Google TAG chưa có khẳng định chính thức về hành vi nguy hại nào, nhưng họ đã báo cáo tất cả tài khoản khả nghi đến nền tảng mạng xã hội tương ứng để có phương án xử lý phù hợp.

Bên cạnh đó, các website khả nghi đã được đưa vào Google Safe Browsing. Trong đó, trang web sẽ bị gắn mác có hoạt động đáng ngờ để cảnh báo người dùng. Ngoài ra, các thông tin liên quan đến chiến dịch tấn công như: Danh sách các tài khoản LinkedIn, Twitter giả mạo, địa chỉ email và liên kết đến các tên miền độc hại cũng được công bố.

Chiến dịch tấn công được thực hiện bài bản

Theo đó, trong chiến dịch tấn công này, nhóm tin tặc đã giả mạo các chuyên gia ATTT, lợi dụng các nền tảng mãng xã hội như Twitter, LinkIn để tiếp cận đối tượng mục tiêu. Một khi đã xây dựng được niềm tin, sự tương tác, trao đổi thông tin với đối tượng, nhóm tin tặc này sẽ tiến hành các hoạt động bất chính.

Đầu tiên, nhóm tin tặc mời các chuyên gia bảo mật tham gia vào dự án nghiên cứu lỗ hổng toàn cầu. Để thêm phần thuyết phục và uy tín, chúng còn gửi thêm các video, bằng chứng của việc khai thác thành công lỗ hổng bảo mật trên Windows Defender. Những bằng chứng này đều là giả mạo.

Cuối cùng, nhóm APT này sẽ gửi source code của một project có chứa mã độc nhằm cài cắm backdoor lên máy tính đối tượng mục tiêu. Theo ghi nhận, cho dù hệ điều hành cũng như trình duyệt của nạn nhân đều  đã được cập nhật, tuy nhiên hành vi khai thác, xâm nhập vẫn có thể xảy ra thông qua các lỗ hổng Zero-day.

Nguồn: Threatpost