“Tác nhân đe dọa này đã bí mật rò rỉ tất cả dữ liệu được gửi đến API Telegram, bằng cách chuyển hướng lưu lượng truy cập qua máy chủ điều khiển và ra lệnh (C2) do chúng kiểm soát. Dữ liệu này bao gồm mã thông báo bot, ID trò chuyện, nội dung tin nhắn và tệp đính kèm”, nhà nghiên cứu Kirill Boychenko của Socket cho biết.

Socket nhấn mạnh các gói độc hại này là “bản sao gần như giống hệt nhau” của plugin Fastlane hợp pháp “fastlane-plugin-telegram”, một thư viện được sử dụng rộng rãi để gửi thông báo triển khai đến các kênh Telegram từ CI/CD pipeline.

Các gói PyPI, npm và Ruby độc hại

Do các gói độc hại không giới hạn theo khu vực và không có logic phân định địa lý, nên các nhà nghiên cứu nhận định rằng những kẻ tấn công chỉ lợi dụng lệnh cấm Telegram tại Việt Nam để phân phối các thư viện giả mạo dưới dạng proxy.

“Chiến dịch này minh họa cho việc các tác nhân đe dọa có thể khai thác các sự kiện địa chính trị nhanh như thế nào để phát động các cuộc tấn công chuỗi cung ứng có mục tiêu. Bằng cách lạm dụng một công cụ phát triển được sử dụng rộng rãi như Fastlane, đồng thời ngụy trang chức năng đánh cắp thông tin xác thực đằng sau một dịch vụ proxy, tin tặc đã tận dụng sự tin tưởng của các nhà phát triển trong hệ sinh thái mã nguồn mở để xâm nhập vào môi trường CI/CD”, Boychenko chia sẻ.

Bên cạnh đó, Socket cho biết họ cũng phát hiện ra một gói npm có tên “xlsx-to-json-lh” và kích hoạt một payload độc hại. Gói này chứa một payload ẩn thiết lập kết nối liên tục đến máy chủ C2. Nhà nghiên cứu bảo mật Kush Pandya cho biết: “Khi được kích hoạt, nó có thể xóa toàn bộ thư mục project mà không có cảnh báo hoặc tùy chọn khôi phục”.

Cụ thể, các hành động phá hủy được kích hoạt khi lệnh tiếng Pháp “remise à zéro” (có nghĩa là “đặt lại”) được đưa ra bởi máy chủ C2, điều này sẽ yêu cầu gói độc hại xóa các tệp mã nguồn, dữ liệu kiểm soát phiên bản, tệp cấu hình, node_modules và tất cả các tài sản của project.

Một tập hợp các gói npm độc hại khác, bao gồm pancake_uniswap_validators_utils_snipe, pancakeswap-oracle-prediction, ethereum-smart-contract và env-process cũng đã được phát hiện có thể đánh cắp từ 80 đến 85% số tiền có trong ví Ethereum hoặc BSC của nạn nhân, bằng cách sử dụng mã JavaScript được che giấu và chuyển chúng vào ví do kẻ tấn công kiểm soát. Các gói này được tải lên bởi người dùng có tên @crypto-exploit, đã thu hút hơn 2.100 lượt người dùng tải xuống. Hiện tại, chúng đã không còn khả dụng.

Các gói độc hại tương tự theo chủ đề tiền điện tử được phát hiện trên PyPI đã kết hợp chức năng bí mật để đánh cắp khóa riêng tư Solana, mã nguồn và dữ liệu nhạy cảm khác từ các hệ thống bị xâm phạm. Cần lưu ý rằng trong khi gói “semantic-types” là vô hại khi lần đầu tiên được tải lên vào ngày 22/12/2024, thì payload độc hại đã được phát hiện dưới dạng bản cập nhật vào ngày 26/01/2025.

Kẻ tấn công đứng sau các gói Python, với bí danh “cappership” để xuất bản chúng lên kho lưu trữ, được cho là đã sử dụng các tệp README đã được chỉnh sửa và liên kết chúng với kho lưu trữ GitHub nhằm tạo độ tin cậy và lừa người dùng tải xuống.

“Mỗi lần tạo cặp khóa, phần mềm độc hại sẽ đánh cắp được khóa bí mật. Sau đó, nó tiếp tục mã hóa bằng khóa công khai RSA‑2048 và mã hóa kết quả trong Base64. Khóa được mã hóa được nhúng trong giao dịch spl[.]memo và được gửi đến Solana Devnet, nơi tác nhân đe dọa có thể lấy và giải mã khóa để có toàn quyền truy cập vào ví bị đánh cắp”, Boychenko cho biết.

Mặt khác, theo hãng bảo mật Safety (Canada), 11 gói Python độc hại nhắm vào hệ sinh thái Solana đã được tải lên PyPI từ ngày 4 đến ngày 24/5/2025. Các gói này được thiết kế để đánh cắp các tệp tập lệnh Python từ hệ thống của nhà phát triển và truyền chúng đến một máy chủ bên ngoài. Một trong những gói được xác định, đó là “solana-live”, cũng được phát hiện nhắm vào Jupyter Notebooks để đánh cắp thông tin.

Trong một dấu hiệu cho thấy kỹ thuật typosquatting vẫn tiếp tục là một phương thức tấn công đáng kể, công ty an ninh mạng Checkmarx (Mỹ) đã đánh dấu 6 gói PyPI độc hại mạo danh colorama, bên cạnh colorizr – một thư viện JavaScript có sẵn trên npm.

“Chiến thuật sử dụng tên từ một hệ sinh thái (npm) để tấn công người dùng của một hệ sinh thái khác (PyPI) là bất thường. Các payload cho phép truy cập liên tục và điều khiển từ xa máy tính để bàn và máy chủ, cũng như thu thập và đánh cắp dữ liệu nhạy cảm”, Checkmarx cho biết. Điều đáng chú ý về chiến dịch này là nó nhắm vào người dùng của cả hệ thống Windows và Linux, cho phép phần mềm độc hại thiết lập kết nối với máy chủ C2, đánh cắp các biến môi trường nhạy cảm và thông tin cấu hình, cũng như thực hiện các bước để trốn tránh các biện pháp kiểm soát bảo mật điểm cuối.

Tuy nhiên, hiện tại vẫn chưa biết liệu các phần mềm Linux và Windows có phải là sản phẩm của cùng một kẻ tấn công hay không, làm dấy lên khả năng chúng có thể là các chiến dịch riêng biệt sử dụng cùng một chiến thuật đánh cắp tên miền.

Những kẻ tấn công độc hại cũng không lãng phí thời gian để lợi dụng sự phổ biến ngày càng tăng của các công cụ trí tuệ nhân tạo (AI) để lây nhiễm chuỗi cung ứng phần mềm, thông qua các gói PyPI như aliyun-ai-labs-snippets-sdk, ai-labs-snippets-sdk và aliyun-ai-labs-sdk, những gói này được cho là xuất phát từ bộ công cụ phát triển phần mềm Python (SDK) để tương tác với các dịch vụ của Aliyun AI Labs.

Các gói độc hại đã được công bố trên PyPI vào ngày 19/5/2024 và có thể tải xuống trong vòng chưa đầy 24 giờ. Tuy nhiên, cả ba gói đã được tải xuống tổng cộng hơn 1.700 lần trước khi chúng bị xóa.

“Sau khi cài đặt, gói độc hại sẽ cung cấp một payload thông tin ẩn bên trong mô hình PyTorch được tải từ tập lệnh khởi tạo. Payload độc hại này sẽ đánh cắp thông tin cơ bản về máy bị nhiễm và nội dung của tệp .gitconfig”, nhà nghiên cứu Karlo Zanki của hãng bảo mật ReversingLabs (Croatia) cho biết.

Mã độc được nhúng có chức năng thu thập thông tin chi tiết về người dùng đã đăng nhập, địa chỉ mạng của máy bị nhiễm, tên tổ chức sở hữu máy và nội dung của tệp .gitconfig.

Điều thú vị là tên tổ chức được lấy bằng cách đọc khóa tùy chọn “_utmc_lui_” từ cấu hình của ứng dụng họp trực tuyến AliMeeting, một ứng dụng hội nghị truyền hình phổ biến ở Trung Quốc. Điều này cho thấy mục tiêu có khả năng của chiến dịch là các nhà phát triển ở Trung Quốc.

Nguồn: Các gói PyPI, npm và Ruby độc hại bị phát hiện trong các cuộc tấn công chuỗi cung ứng nguồn mở đang diễn ra | An toàn thông tin

Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky giám sát hơn 900 nhóm và hoạt động APT. Mỗi năm, nhóm nghiên cứu sẽ đánh giá các cuộc tấn công phức tạp và tinh vi nhất đã định hình nên bối cảnh mối đe dọa. Những hiểu biết sâu sắc này cho phép các chuyên gia bảo mật dự đoán các xu hướng mới nổi và xây dựng bức tranh rõ ràng hơn về bối cảnh APT trong thời gian tới. Dưới đây là các mối đe dọa nâng cao cần quan tâm trong năm 2025.

XU HƯỚNG PHÁT TRIỂN CỦA CÁC LIÊN MINH HACKTIVIST

Trong những năm gần đây, các nhóm tin tặc với mục đích chính trị (hacktivist) đã bắt đầu liên kết chặt chẽ các hoạt động của mình với các cuộc xung đột chính trị xã hội. Trong khi những nỗ lực ban đầu chủ yếu tập trung vào việc thu hút sự chú ý của công chúng, giờ đây các nhóm hacktivist theo đuổi các mục tiêu quan trọng hơn với tác động thực tế.

Năm 2024, chúng ta đã chứng kiến sự phát triển của chủ nghĩa hacktivism với các nhóm hình thành liên minh và diễn đàn có chung động cơ. Những liên minh này không chỉ giới hạn hoạt động ở các cuộc xung đột quân sự, mà chúng cũng xuất hiện để tham gia vào các sự kiện đang diễn ra thu hút sự chú ý của công chúng.

Mục tiêu chung của các nhóm tin tặc này có thể là tập hợp sức mạnh và thúc đẩy các hành vi độc hại, việc chia sẻ các công cụ và cơ sở hạ tầng cũng là một phần quan trọng của các liên minh như vậy, cho phép đạt được các mục tiêu tham vọng hơn. Hacktivist đã phát triển mạnh mẽ hơn với chiến lược này, vì vậy chúng ta có thể sẽ thấy nhiều chiến dịch có tổ chức và tác động lớn hơn trong tương lai.

GIA TĂNG CÁC CUỘC TẤN CÔNG VÀO THIẾT BỊ IOT

Các thiết bị IoT dự kiến sẽ gia tăng nhanh chóng từ 18 tỷ thiết bị hiện nay lên 32 tỷ vào năm 2030. Các thiết bị thông minh như máy ảnh, TV, camera trở nên phổ biến hơn, chúng sẽ thêm vô số kết nối mới vào Internet, mỗi kết nối đều tiềm ẩn lỗ hổng riêng.

Nhiều thiết bị IoT dựa vào máy chủ từ xa để điều khiển nhưng các hoạt động bảo mật của công ty quản lý các máy chủ này thường không rõ ràng, dẫn đến nguy cơ tấn công tiềm ẩn mới trên cơ sở hạ tầng của họ. Ngoài ra, các thiết bị IoT thường chạy trên các hệ thống nhúng có firmware dẫn đến việc dễ dàng phân tích để tìm lỗ hổng. Nhiều thiết bị cũ dựa vào các thư viện lỗi thời với các lỗ hổng bảo mật đã biết khiến chúng dễ bị khai thác.

Sự gia tăng các ứng dụng di động để kiểm soát các thiết bị này cũng tạo thêm một lớp rủi ro nữa. Với rất nhiều ứng dụng có sẵn, rất khó để xác minh tính hợp pháp của từng ứng dụng, tạo cơ hội cho kẻ tấn công phát tán các ứng dụng giả mạo để kiểm soát các thiết bị IoT. Rủi ro chuỗi cung ứng cũng gây ra mối lo ngại những kẻ xấu có thể cài phần mềm độc hại trong quá trình sản xuất. Vấn đề chính là chưa có biện pháp đối phó hiệu quả. So với năm ngoái, tình hình vẫn chưa được cải thiện và năm 2025 những kẻ tấn công có thể sẽ tiếp tục gia tăng tấn công vào lượng lớn thiết bị IoT này.

TĂNG CƯỜNG CÁC CUỘC TẤN CÔNG CHUỖI CUNG ỨNG VÀO CÁC DỰ ÁN NGUỒN MỞ

Một chiến dịch khét tiếng trong năm 2024 là Backdooring của XZ, một công cụ nén mã nguồn mở được sử dụng rộng rãi trong các bản phân phối Linux phổ biến. Tin tặc đã sử dụng kỹ nghệ xã hội để có được quyền truy cập vào môi trường phát triển phần mềm và không bị phát hiện trong nhiều năm. Trường hợp này làm nổi bật một số khía cạnh quan trọng của hệ sinh thái mã nguồn mở hiện tại, nơi nhiều dự án quan trọng được duy trì bởi chỉ một số ít nhà phát triển hoặc đôi khi chỉ một nhà phát triển duy nhất, những người thường không có khả năng chống lại các nhóm APT tinh vi do nhà nước tài trợ. Năm 2025, mặc dù những tổ chức có khả năng sẽ bắt đầu cải thiện việc giám sát các dự án nguồn mở nhưng chúng ta có thể sẽ thấy sự gia tăng về số lượng các cuộc tấn công chuỗi cung ứng.

PHẦN MỀM ĐỘC HẠI C++VÀ GO THÍCH ỨNG VỚI HỆ SINH THÁI NGUỒN MỞ

Khi các dự án nguồn mở ngày càng áp dụng các phiên bản mới nhất của C++ và Go, các tác nhân đe dọa sẽ cần phải điều chỉnh phần mềm độc hại của họ theo các ngôn ngữ được sử dụng rộng rãi này. Vào năm 2025, có thể chứng kiến sự gia tăng đáng kể các nhóm APT và tin tặc chuyển sang sử dụng các ngôn ngữ này, tận dụng sự phổ biến ngày càng tăng của chúng trong các dự án nguồn mở. C++ và Go sẽ trở thành ngôn ngữ phổ biến nhất để phát triển phần mềm độc hại vì kẻ tấn công sẽ khai thác điểm mạnh và điểm yếu của các ngôn ngữ này để xâm nhập vào hệ thống và vượt qua các biện pháp bảo mật.

MỞ RỘNG VIỆC SỬ DỤNG AI ĐỐI VỚI CÁC TÁC NHÂN CÓ LIÊN KẾT VỚI NHÀ NƯỚC

Việc sử dụng các mô hình ngôn ngữ lớn (LLM) sẽ trở thành một thông lệ chuẩn đối với những kẻ tấn công, tương tự như cách mà những quản trị viên bảo mật hệ thống ngày càng kết hợp AI và các công cụ học máy vào các chiến lược an ninh mạng của họ. Những kẻ tấn công có thể sẽ sử dụng LLM để do thám, LLM có thể tự động hóa quá trình xác định lỗ hổng và thu thập thông tin, giúp những kẻ tấn công dễ dàng tìm ra điểm yếu ở mục tiêu của chúng. Năm 2025, các nhóm tin tặc sẽ dựa nhiều hơn vào AI khi tạo các tập lệnh độc hại và tạo lệnh trong các hoạt động sau khi khai thác để tăng cơ hội thành công.

Kẻ tấn công cũng có khả năng sẽ cố gắng che giấu hoạt động của mình khỏi các công ty như OpenAI bằng cách tạo LLM cục bộ hoặc che giấu hành vi của mình trên các nền tảng công cộng, sử dụng nhiều tài khoản, thận trọng với thông tin đầu vào và giảm thiểu dữ liệu được chia sẻ với các nền tảng như Google, OpenAI, Microsoft,…

DEEPFAKE SẼ ĐƯỢC CÁC NHÓM APT SỬ DỤNG NHIỀU HƠN

Cần đặc biệt chú ý đến sự gia tăng của Deepfake vốn đang phát triển nhanh chóng và gây ra những rủi ro đáng kể. Trước đây, chúng ta thường tin tưởng vào video, hình ảnh và giọng nói là nguồn thông tin đáng tin cậy. Tuy nhiên, khi công nghệ Deepfake được cải thiện và dễ tiếp cận hơn thì niềm tin đó ngày càng bị thách thức.

Lý do khiến những cuộc tấn công này hiệu quả như vậy bắt nguồn từ tâm lý con người: Khi mọi người nghe thấy một giọng nói mà họ nhận ra, theo bản năng họ sẽ tin vào thông điệp đó. Trước đây, việc mạo danh giọng nói không được coi là mối đe dọa lớn, đó là lý do tại sao những vụ lừa đảo như vậy có thể rất thuyết phục. Tuy nhiên, sự ra đời của công nghệ AI đã hoàn toàn thay đổi mô hình này. Ngày nay, các dịch vụ mới có thể tạo ra Video Deepfake và bản ghi âm giọng nói chỉ từ một vài mẫu thực, dễ dàng thu thập trên Internet.

Năm 2025, APT sẽ càng tích hợp nhiều hơn công nghệ này vào bộ công cụ của chúng để mạo danh những cá nhân quan trọng, tạo ra các tin nhắn hoặc video có sức thuyết phục cao để lừa đảo nạn nhân, đánh cắp thông tin nhạy cảm hoặc thực hiện các hoạt động độc hại khác.

CÁC MÔ HÌNH AI CÓ BACKDOOR

Việc áp dụng rộng rãi các mô hình AI của các doanh nghiệp trong nhiều ngành công nghiệp khác nhau khiến các mô hình này ngày càng trở thành mục tiêu hấp dẫn đối với tội phạm mạng và các tác nhân đe dọa do nhà nước tài trợ. Việc phân phối rộng rãi các mô hình AI nguồn mở và được tinh chỉnh làm tăng nguy cơ các mô hình này bị trojan hóa hoặc cài backdoor.

Vào năm 2025, các nhóm APT rất có thể sẽ nhắm mục tiêu vào các mô hình AI và tập dữ liệu nguồn mở phổ biến, đưa vào mã độc hoặc các phần mềm khó phát hiện và được chia sẻ rộng rãi.

SỰ GIA TĂNG CỦA CÁC CUỘC TẤN CÔNG BYOVD TRONG CÁC CHIẾN DỊCH APT

BYOVD đã trở thành xu hướng tấn công vào năm 2024. Kỹ thuật này cho phép các tin tặc lợi dụng lỗ hổng trong trình điều khiển để leo thang đặc quyền, vượt qua các biện pháp bảo mật và triển khai các phần mềm độc hại tinh vi trong các chiến dịch mã độc tống tiền và APT.

Trình điều khiển đóng vai trò quan trọng trong việc giao tiếp giữa phần cứng và phần mềm, nhưng chúng cũng có thể là mục tiêu tấn công chính của tin tặc. Trình điều khiển dễ bị tấn công cho phép tin tặc thực thi mã độc với mức đặc quyền cao, có khả năng dẫn đến hoạt động do thám lâu dài, đánh cắp dữ liệu và xâm nhập mạng. Mặc dù một số nhà cung cấp bảo mật triển khai nhiều cơ chế khác nhau để ngăn chặn các cuộc tấn công như vậy, nhưng sự tinh vi của chúng rất khó để chống lại bằng các biện pháp bảo mật truyền thống. Các trình điều khiển này là phần mềm hợp pháp có thể cần thiết để tạo điều kiện cho chức năng hệ thống bình thường, khiến việc phân biệt mục đích sử dụng hợp pháp với mục đích sử dụng có hại trở nên khó khăn.

Xu hướng này sẽ tiếp tục vào năm 2025, khi những kẻ tấn công trở nên thành thạo hơn trong việc tận dụng các lỗ hổng cấp thấp, mức độ phức tạp của các cuộc tấn công như vậy có khả năng sẽ tăng lên và chúng ta có thể thấy các kỹ thuật tinh vi hơn nữa, chẳng hạn như khai thác trình điều khiển lỗi thời hoặc của bên thứ ba thường không được kiểm tra kỹ lưỡng về các lỗ hổng bảo mật.

KẾT LUẬN

Năm 2025 sẽ chứng kiến sự gia tăng các mối đe dọa APT phức tạp và đa dạng hơn. Từ sự gia tăng của các liên minh hacktivist, tấn công IoT đến khai thác chuỗi cung ứng và ứng dụng AI, cùng với sự trỗi dậy của Deepfake và kỹ thuật tấn công BYOVD càng làm phức tạp thêm bức tranh an ninh mạng, các cá nhân và tổ chức cần đặc biệt cảnh giác. Để đối phó hiệu quả với các mối đe dọa này, việc chủ động nắm bắt xu hướng và triển khai các biện pháp bảo mật tiên tiến sẽ là vô cùng cần thiết và là yếu tố quyết định đến sự an toàn của các tổ chức, doanh nghiệp.

Kỹ thuật này liên quan đến các trang xác minh giả mạo trông giống như các dịch vụ hợp pháp, thường được lưu trữ trên các nền tảng sử dụng mạng phân phối nội dung (CDN). Các trang này thường ngụy trang thành CAPTCHA thường được sử dụng, chẳng hạn như Google reCAPTCHA hoặc Cloudflare CAPTCHA, để đánh lừa người dùng tin rằng họ đang tương tác với một dịch vụ đáng tin cậy.

Hình 1. Cách thức phân phối CAPTCHA giả mạo

Có hai hình thức được sử dụng để quảng bá các trang CAPTCHA giả mạo. Thứ nhất, các trang web vi phạm bản quyền hoặc trang web phần mềm bị bẻ khóa. Kẻ tấn công sao chép các trang web này và chèn quảng cáo độc hại vào trang đã sao chép để chuyển hướng người dùng đến CAPTCHA độc hại. Thứ hai, các kênh Telegram giả mạo về nội dung vi phạm bản quyền và tiền điện tử. Những kẻ tấn công tạo các kênh Telegram với tên chứa các từ khóa liên quan đến tiền điện tử hoặc nội dung vi phạm bản quyền, chẳng hạn như phần mềm, phim ảnh,… Khi người dùng tìm kiếm, các kênh giả mạo này sẽ xuất hiện ở đầu tìm kiếm. Những kẻ tấn công cũng sử dụng các bài đăng trên mạng xã hội để dụ nạn nhân đến các kênh này. Khi người dùng tham gia một kênh như vậy, họ sẽ được nhắc nhở hoàn tất xác minh danh tính thông qua bot “Safeguard Captcha” lừa đảo.

Hình 2. Giao diện Bot Safeguard Captcha

Như trong Hình 2, khi người dùng nhấp vào nút Verify, bot sẽ mở một trang có CAPTCHA giả mạo. Người dùng được hiển thị một trang bật lên trông giống như xác minh CAPTCHA hợp lệ, nhắc họ nhấp vào I’m not a robot/Verify/Copy hoặc một số nút tương tự (Hình 3).

Hình 3. Ví dụ về trang CAPTCHA giả mạo

Trang giả mạo có nội dung độc hại

Khi nhấp vào nút I’m not a robot/Verify/Copy, người dùng được hướng dẫn thực hiện một chuỗi thao tác bất thường:

– Mở hộp thoại Run (Win+R).

– Nhấn Ctrl+V.

– Nhấn Enter.

Việc chọn vào các nút trên sẽ tự động sao chép lệnh PowerShell vào clipboard. Sau đó, nếu người dùng dán lệnh vào hộp thoại Run và nhấn Enter, hệ thống sẽ thực thi lệnh.

Hình 4. Ví dụ về các tập lệnh được sao chép vào clipboard và được thực thi thông qua hộp thoại Run

Lệnh này có thể thay đổi đôi chút tùy theo từng trang web và thay đổi sau mỗi vài ngày, nhưng thường được sử dụng để tải Lumma Stealer từ máy chủ từ xa, thường là một CDN đã biết có thời gian dùng thử miễn phí, hoặc nền tảng lưu trữ và cộng tác mã hợp pháp như GitHub, từ đó bắt đầu quá trình cài đặt phần mềm độc hại. Để phân tích kỹ hơn chuỗi lây nhiễm này, thực hiện lệnh Hình 5.

Hình 5. Lệnh kích hoạt chuỗi lây nhiễm của Lumma

Lệnh này khá đơn giản, thực hiện giải mã và thực thi nội dung từ tệp win15[.]txt từ xa được lưu trữ tại https[:]//win15.b-cdn[.]net/win15[.]txt. Tệp này chứa một tập lệnh PowerShell được mã hóa Base64, sau đó tải xuống và chạy Lumma Stealer.

Hình 6. Nội dung của tệp win15.txt

Khi được giải mã, tập lệnh PowerShell thực hiện các hành động sau:

1. Tải xuống phần mềm độc hại: Lệnh sẽ tải xuống tệp win15[.]zip từ https[:]//win15.b-cdn[.]net/win15[.]zip đến [User Profile]\AppData\Roaming\bFylC6zX[.]zip.

2. Trích xuất phần mềm độc hại: Tệp ZIP đã tải xuống được giải nén vào thư mục C:\Users\[User]\AppData\Roaming\7oCDTWY, một thư mục ẩn trong thư mục AppData của người dùng.

3. Thực thi phần mềm độc hại: Tập lệnh chạy tệp Set-up[.]exe từ kho lưu trữ đã giải nén, hiện đặt tại C:\Users\[User]\AppData\Roaming\7oCDTWYu\Set-up[.]exe.

4. Thiết lập cơ chế duy trì: Tập lệnh tạo một mục entry trong Windows Registry để duy trì, đảm bảo phần mềm độc hại chạy mỗi khi hệ thống khởi động. Key được thêm vào HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Tên key là 5TQjtTuo, với giá trị trỏ đến Set-up[.]exe .

Tuy nhiên, trong một số trường hợp, cơ chế phân phối phần mềm độc hại có thể phức tạp hơn. Trong ví dụ Hình 7, tập lệnh phân phối là mã JavaScript ẩn trong tệp trông giống như tệp mp3 (các định dạng tệp khác như mp4 và png cũng đã được sử dụng). Trên thực tế, ngoài JavaScript, tệp có thể chứa tệp mp3/mp4 bị hỏng, mã phần mềm hợp lệ hoặc chỉ là dữ liệu ngẫu nhiên.

Tập lệnh được thực thi bằng cách sử dụng công cụ ứng dụng HTML của Microsoft  mshta[.]exe, bằng cách nhắc người dùng dán lệnh sau vào hộp thoại Run:

Hình 7. Lệnh kích hoạt chuỗi lây nhiễm dựa trên JS

Lệnh mshta phân tích tệp dưới dạng tệp HTA và thực thi bất kỳ mã JavaScript nào trong thẻ script, kích hoạt chuỗi lây nhiễm sau:

Lớp (1)

Hình 8 là mã lệnh JS bên trong tệp mp3 được thực thi bởi mshta.

Hình 8. Tập lệnh JS trong tệp never[.]mp3

Lớp (2)

Sau khi phân tích giá trị Kwb, các nhà nghiên cứu thu được đoạn mã sau và đoạn mã này sẽ được thực thi bởi hàm eval.

Hình 9. Lớp 2 của tập lệnh

Lớp (3)

Sau khi tính toán các giá trị cho kXN và zzI, lệnh ActiveX cuối cùng được xây dựng và thực thi, nó chứa một tập lệnh PowerShell được mã hóa trong biến $PBwR.

Hình 10. Lớp giải mã (2) tập lệnh JS

Lớp (4)

Sau khi giải mã tập lệnh PowerShell, các nhà nghiên cứu phát hiện ra rằng mục đích chính của nó là tải xuống và thực thi một tệp PowerShell khác từ đường dẫn: hXXps://connect[.]klipfuzj[.]shop/firefire[.]png.

Hình 11. Lớp giải mã (3) tập lệnh PowerShell

Phân tích tệp firefire

Các nhà nghiên cứu cho biết, firefire[.]png chính là tệp PowerShell lớn (gần bằng 31MB) với nhiều lớp che giấu và chống debug. Sau khi giải mã và xóa mã không cần thiết, chúng ta có thể thấy mục đích chính của tệp là tạo và thực thi tập lệnh PowerShell được mã hóa như Hình 12.

Hình 12. Tệp firefire

Khóa giải mã là đầu ra của lệnh Invoke-Metasploit, bị chặn nếu AMSI được bật. Do đó, một thông báo lỗi được tạo ra bởi AMSI: AMSI_RESULT_NOT_DETECTED, được sử dụng làm khóa. Nếu AMSI bị tắt, phần mềm độc hại sẽ không giải mã được tập lệnh.

Tập lệnh PowerShell được giải mã có kích thước khoảng 1,5 MB và mục đích chính của nó là tạo và chạy một tệp thực thi độc hại.

Hình 13. Tập lệnh PowerShell đã giải mã

Phương pháp và kỹ thuật lây nhiễm

Lumma Stealer đã được phát hiện sử dụng nhiều phương pháp lây nhiễm khác nhau, với hai kỹ thuật chính nổi bật trong các chiến dịch phân phối của nó, đó là: DLL sideloading và tiêm payload độc hại vào phần lớp phủ của phần mềm miễn phí hợp pháp. Các kỹ thuật này đặc biệt hiệu quả trong việc trốn tránh phát hiện, bởi vì chúng khai thác lợi dụng vào lòng tin mà người dùng đặt vào các ứng dụng và tiến trình hệ thống phổ biến rộng rãi.

– DLL sideloading: DLL sideloading là một kỹ thuật mà trong đó các thư viện liên kết động (DLL) độc hại được tải bởi một ứng dụng hợp pháp. Kỹ thuật này khai thác các lỗ hổng hoặc cấu hình sai trong phần mềm vô tình tải các tệp DLL từ các thư mục không đáng tin cậy.

Kẻ tấn công có thể nhúng Lumma Stealer DLL vào cùng thư mục với một ứng dụng đáng tin cậy, khiến nó tải khi ứng dụng được thực thi. Vì DLL độc hại được tải trong bối cảnh của một tiến trình đáng tin cậy, nên các biện pháp bảo mật truyền thống khó phát hiện ra sự xâm nhập hơn nhiều.

– Tiêm phần mềm độc hại vào lớp phủ của phần mềm: Một phương pháp khác thường được Lumma Stealer sử dụng là đưa một phần mềm độc hại vào lớp phủ của phần mềm miễn phí. Lớp phủ thường được sử dụng cho chức năng phần mềm hợp pháp, chẳng hạn như hiển thị giao diện đồ họa hoặc xử lý một số sự kiện đầu vào. Bằng cách sửa đổi lớp phủ của phần mềm, kẻ tấn công có thể đưa phần mềm độc hại vào mà không làm gián đoạn hoạt động bình thường của ứng dụng.

Phương pháp này đặc biệt nguy hiểm vì phần mềm vẫn tiếp tục có vẻ hợp pháp trong khi mã độc vẫn âm thầm thực thi ở chế độ backgroud, nó cũng giúp phần mềm độc hại tránh bị phát hiện bởi các công cụ bảo mật tập trung vào giám sát hệ thống.

Cả hai phương pháp trên đều dựa vào việc khai thác các ứng dụng đáng tin cậy, làm tăng đáng kể khả năng lây nhiễm thành công. Các kỹ thuật này có thể được sử dụng kết hợp với các kỹ thuật khác, chẳng hạn như phishing hoặc trojan hóa các gói phần mềm, để tối đa hóa việc lây lan Lumma Stealer đến nhiều mục tiêu.

Phân tích mẫu mã độc

Để chứng minh cách thức hoạt động của trình cài đặt Lumma Stealer và tác động đến hệ thống và bảo mật dữ liệu, các nhà nghiên cứu đã phân tích mẫu mã độc mà họ phát hiện. Mẫu này sử dụng kỹ thuật tiêm lớp phủ. Dưới đây là phân tích chi tiết về chuỗi lây nhiễm và các kỹ thuật khác nhau được sử dụng để triển khai và thực thi Lumma Stealer.

Thực hiện ban đầu và tự giải nén RAR (SFX)

Payload ban đầu trong mẫu này được phân phối dưới dạng tiến trình ProjectorNebraska[.]exe, bao gồm một tệp hợp lệ bị hỏng và phần mềm độc hại trong lớp phủ, nó được nạn nhân thực thi. Sau đó, tệp giải nén và chạy một tệp lưu trữ RAR (SFX) tự giải nén. Tệp lưu trữ này chứa giai đoạn tiếp theo của quá trình lây nhiễm: trình cài đặt Nullsoft Scriptable Install System (NSIS). NSIS là một công cụ được sử dụng rộng rãi để tạo trình cài đặt Windows.

Các thành phần cài đặt NSIS

Hình 14. Các thành phần cài đặt NSIS

Trình cài đặt NSIS loại bỏ một số thành phần quan trọng đối với việc thực thi phần mềm độc hại. Chúng bao gồm các thành phần AutoIt và một trình tải tập lệnh hàng loạt được tối giản hóa có tên là Hose[.]cmd. Các thành phần AutoIt sau đây bị loại bỏ:

– Các thành phần của một tệp thực thi AutoIt hợp lệ: Đây là các thành phần của một tệp thực thi AutoIt hợp lệ được đưa vào hệ thống của nạn nhân và sau đó được sắp xếp lại trong quá trình lây nhiễm.

– Tập lệnh AutoIt đã biên dịch: Tập lệnh đã biên dịch mang theo chức năng chính của Lumma Stealer, bao gồm các hoạt động như đánh cắp thông tin đăng nhập và đánh cắp dữ liệu.

Các thành phần này sau đó được build lại thành tệp thực thi cuối cùng bằng các tệp batch loader và thực thi nhiều đoạn khác nhau.

Hose[.]cmd có vai trò điều phối các bước cuối cùng của quá trình thực thi phần mềm độc hại. Dưới đây là phân tích các thành phần chính của nó (sau khi giải mã):

Hình 16. Tập lệnh batch đã được giải mã

Hình 17. Cây tiến trình sau khi thực thi tập lệnh batch

Tập lệnh batch thực hiện các hành động sau:

1. Trốn tránh sản phẩm bảo mật

Tập lệnh quét sự hiện diện của phần mềm bảo mật (SecureAnywhere và Quick Heal AntiVirus) bằng cách sử dụng tasklist. Nếu phát hiện thấy bất kỳ phần mềm nào trong số chúng, nó sẽ trì hoãn việc thực thi thông qua lệnh ping -n 198, lệnh này sẽ ping localhost 198 lần. Kỹ thuật này được sử dụng để tránh phát hiện sandbox, vì sandbox thường thoát trước khi tập lệnh hoàn tất tác vụ ping.

Tập lệnh kiểm tra sự hiện diện của bất kỳ mục nào sau đây: Avast, AVG, McAfee, Bitdefender, Sophos bằng cách sử dụng danh sách các tác vụ. Nếu phát hiện thấy một trong số chúng, nó sẽ giữ tên thực thi cho AutoIt là AutoIt3[.]exe; nếu không, nó sẽ đổi tên thành Suggests[.]pif.

2. Thiết lập môi trường và chuẩn bị payload

Tệp lệnh sẽ thiết lập các biến môi trường cho tệp thực thi AutoIt và payload cuối cùng. Ngoài ra, nó cũng tạo một thư mục làm việc có tên là 195402 trong thư mục Temp để lưu trữ các thành phần độc hại.

3. Làm tối nghĩa và trích xuất

Tập lệnh lọc và dọn dẹp một tệp có tên Sitting từ trình cài đặt NSIS bằng cách xóa chuỗi OptimumSlipProfessionalsPerspective và lưu trữ kết quả dưới dạng Suggests[.]pif. Sau đó, sử dụng lệnh copy /b để hợp nhất Suggests[.]pif với một thành phần bổ sung từ trình cài đặt NSIS có tên Oclc vào tệp thực thi AutoIt, lưu lại dưới dạng Suggests[.]pif.

4. Payload assembly

Tập lệnh kết hợp nhiều tệp từ trình cài đặt NSIS: Italy, Holmes, True,… để tạo tệp thực thi cuối cùng có tên h[.]a3x, đây là một tập lệnh AutoIt.

5. Thực thi Lumma Stealer

Cuối cùng, tập lệnh chạy Suggests[.]pif và sau đó là h[.]a3x và kích hoạt thực thi Lumma Stealer dựa trên AutoIt.

Phân tích tập lệnh AutoIt

Trong quá trình phân tích, tiện ích AutoIt Extractor đã được sử dụng để giải mã và trích xuất tập lệnh từ tệp h[.]a3x. Tập lệnh đã được tối ưu hóa rất nhiều và cần phải giải mã thêm để có được tập lệnh au3 sạch và có thể phân tích được. Dưới đây là phân tích về hành vi của trình tải AutoIt.

Hình 18. Trích xuất tập lệnh AutoIt

Kiểm tra chống phân tích

Tập lệnh bắt đầu bằng cách xác thực môi trường để phát hiện các công cụ phân tích hoặc môi trường sandbox, nó kiểm tra tên máy tính và tên người dùng cụ thể thường liên quan đến môi trường thử nghiệm.

Hình 19. Xác thực môi trường

Sau đó, tập lệnh kiểm tra các tiến trình từ các công cụ anti-virus phổ biến như Avast Bitdefendervà Kaspersky.

Hình 20. Kiểm tra anti-virus

Nếu bất kỳ điều kiện nào trong số này được đáp ứng, tập lệnh sẽ dừng thực thi để tránh bị phát hiện.

Thực thi shellcode của trình tải

Nếu kiểm tra chống phân tích được thông qua, tập lệnh sẽ tự động chọn shellcode 32 bit hoặc 64 bit dựa trên kiến ​​trúc hệ thống, nằm trong biến $vinylcigaretteau bên trong tập lệnh. Để thực hiện việc này, nó phân bổ bộ nhớ thực thi và đưa shellcode vào đó. Sau đó, shellcode khởi tạo môi trường thực thi và chuẩn bị cho payload giai đoạn tiếp theo.

Hình 21. Một phần của trình tải AutoIt chịu trách nhiệm thực thi shellcode

Xử lý payload $dayjoy

Sau khi thực thi shellcode của trình tải, tập lệnh sẽ xử lý payload giai đoạn thứ hai nằm trong biến $dayjoy. Payload được giải mã bằng RC4 với khóa được mã hóa cứng 1246403907690944.

Hình 22. Payload được mã hóa

Để giải mã dữ liệu một cách độc lập, các nhà nghiên cứu đã viết một tập lệnh Python tùy chỉnh như Hình 23 dưới đây.

Hình 23. Tập lệnh Python để giải mã payload

Payload giải mã được giải nén bằng thuật toán LZNT1.

Thực hiện payload cuối cùng

Sau khi giải mã và giải nén, payload $dayjoy được thực thi trong bộ nhớ. Tập lệnh sử dụng DllCallAddress để gọi payload trực tiếp trong bộ nhớ được phân bổ. Điều này đảm bảo payload được thực thi một cách bí mật mà không được ghi vào đĩa.

Hình 24. Thực hiện payload cuối cùng

Payload cuối cùng này chính là trình đánh cắp thông tin. Khả năng đánh cắp dữ liệu toàn diện của phần mềm độc hại nhắm vào nhiều loại thông tin nhạy cảm, bao gồm:

– Thông tin xác thực ví tiền điện tử (ví dụ: Binance, Ethereum) và tiện ích mở rộng trình duyệt liên quan (ví dụ: MetaMask).

– Dữ liệu xác thực hai yếu tố (2FA) và tiện ích mở rộng.

– Thông tin đăng nhập và cookie được lưu trữ trên trình duyệt.

– Thông tin đăng nhập được lưu trữ từ các công cụ truy cập từ xa như AnyDesk.

– Thông tin đăng nhập được lưu trữ từ các trình quản lý mật khẩu như KeePass.

– Dữ liệu hệ thống và ứng dụng.

– Thông tin tài chính như số thẻ tín dụng.

Giao tiếp máy chủ điều khiển và ra lệnh (C2)

Sau khi Lumma Stealer được thực thi, nó sẽ thiết lập liên lạc với máy chủ (C2) của nó để trích xuất dữ liệu bị đánh cắp. Phần mềm độc hại gửi thông tin đã thu thập được trở lại cơ sở hạ tầng của kẻ tấn công để khai thác thêm. Giao tiếp này thường được thực hiện qua HTTP hoặc HTTPS, được ngụy trang dưới dạng lưu lượng hợp pháp để tránh bị các công cụ giám sát bảo mật mạng phát hiện.

Kết luận

Là một chương trình độc hại được phân phối hàng loạt, Lumma Stealer sử dụng một chuỗi lây nhiễm phức tạp bao gồm một số kỹ thuật chống phân tích và tránh phát hiện để xâm nhập vào thiết bị của nạn nhân một cách lén lút. Mặc dù đợt lây nhiễm ban đầu thông qua phần mềm vi phạm bản quyền đáng ngờ và các trang web liên quan đến tiền điện tử và các kênh Telegram cho thấy rằng cá nhân là mục tiêu chính của các cuộc tấn công này, các nhà nghiên cứu đã phát hiện Lumma trong một sự cố tại một trong những khách hàng của mình, điều này minh họa rằng các tổ chức cũng có thể trở thành nạn nhân của mối đe dọa này.

Thông tin bị đánh cắp bởi phần mềm độc hại như vậy có thể rơi vào tay những tên tội phạm mạng khét tiếng hơn, chẳng hạn như những kẻ điều hành mã độc tống tiền. Đó là lý do tại sao việc ngăn chặn các đợt lây nhiễm của kẻ đánh cắp ngay từ giai đoạn đầu là rất quan trọng. Bằng cách nắm bắt các kỹ thuật lây nhiễm, các chuyên gia bảo mật có thể phòng thủ tốt hơn trước mối đe dọa ngày càng gia tăng này và phát triển các chiến lược phát hiện, phòng ngừa hiệu quả hơn.

Theo báo cáo đầu tiên của trang tin BleepingComputer, Interlock là một nhóm tin tặc mã độc tống tiền được biết đến vào tháng 9/2024. Trước đây, nhóm này đã nhắm mục tiêu tấn công vào Đại học Texas Tech, công ty DaVita và mạng lưới y tế Kettering Health ở Ohio, Mỹ. Interlock cũng đã lợi dụng các cuộc tấn công ClickFix mạo danh các ứng dụng công nghệ thông tin để thực hiện lây nhiễm ban đầu và xâm nhập mạng.

Phần mềm độc hại NodeSnake RAT mới

Các cuộc tấn công mới nhất của Interlock bắt đầu bằng các email lừa đảo có chứa liên kết, hoặc tệp đính kèm độc hại dẫn đến lây nhiễm NodeSnake RAT. Phần mềm độc hại dựa trên JavaScript, thực thi bằng NodeJS, sẽ tồn tại và duy trì tính bền bỉ sau khi lây nhiễm bằng cách sử dụng các tập lệnh PowerShell hoặc CMD, để tạo Registry lừa đảo có tên ChromeUpdater nhằm mạo danh trình cập nhật của Google Chrome.

Để tránh bị phát hiện, phần mềm độc hại chạy như một tiến trình nền tách biệt, tên tệp và dữ liệu được gán tên bất kỳ, đồng thời địa chỉ IP của máy chủ điều khiển và ra lệnh (C2) liên tục được thay đổi với độ trễ ngẫu nhiên. Hơn nữa, phần mềm độc hại này còn có tính năng code obfuscation, mã hóa XOR bằng rolling key và random seeds.

Mặc dù địa chỉ IP C2 được mã hóa cứng, kết nối vẫn được định tuyến qua các tên miền được Cloudflare proxy để che giấu hành vi. Khi thiết bị bị lây nhiễm, NodeSnake sẽ thu thập metadata quan trọng về người dùng, các tiến trình đang chạy, dịch vụ và cấu hình mạng rồi truyền dữ liệu đó đến máy chủ C2 do kẻ tấn công kiểm soát.

Hình 1. Thu thập dữ liệu hệ thống

NodeSnake có thể kill các tiến trình đang hoạt động hoặc tải thêm các tệp EXE, DLL hoặc JavaScript vào thiết bị. Ngoài ra, các tin tặc Interlock cũng đã phát triển một phiên bản cập nhật của NodeSnake, biến thể mới này cũng có thể thực thi các lệnh CMD và sử dụng các mô-đun bổ sung để thay đổi hành vi thăm dò C2 động. Kết quả lệnh được đóng gói trong các gói dữ liệu đã lọc, cho phép tương tác shell theo thời gian thực.

Hình 2. Thực thi lệnh CMD

Để theo dõi danh sách đầy đủ các chỉ số bị xâm phạm, quý độc giả vui lòng truy cập tại đây.

Đối với quyền truy cập ban đầu, Sophos nhận định rằng kẻ điều hành mã độc tống tiền DragonForce đã liên kết với ba lỗ hổng trong phần mềm giám sát và quản lý từ xa (RMM).

Các lỗ hổng được theo dõi là CVE-2024-57727, CVE-2024-57728 và CVE-2024-57726, cho phép tin tặc truy xuất tệp nhật ký, tệp cấu hình và thông tin xác thực. Ngoài ra, các tác nhân đe dọa có thể đăng nhập hệ thống để tải tệp lên và thực thi mã, đặc biệt leo thang đặc quyền của chúng lên quản trị viên, dẫn đến xâm phạm hoàn toàn hệ thống mục tiêu.

SimpleHelp đã phát hành bản sửa lỗi cho ba lỗ hổng phần mềm vào giữa tháng 01/2025, tuy nhân kẻ tấn công đã kết hợp chúng trong các cuộc tấn công hai tuần sau đó để tấn công các phiên bản SimpleHelp chưa được vá trên Internet.

Hiện tại, Sophos cho biết ba lỗ hổng bảo mật này có khả năng liên quan đến việc truy cập vào triển khai SimpleHelp của MSP (giấu tiên) mà MSP này đang lưu trữ và vận hành cho khách hàng của mình. Sophos cho biết, những kẻ tấn công đã sử dụng RMM để thu thập thông tin về khách hàng của MSP, thu thập họ tên và cấu hình thiết bị, người dùng cũng như kết nối mạng.

Các tin tặc cũng đánh cắp thông tin nhạy cảm và triển khai mã độc tống tiền DragonForce, gây ảnh hưởng đến cả MSP và khách hàng của họ. Nhóm tin tặc mã độc tống tiền DragonForce đã thu hút được nhiều sự chú ý trong tháng qua, sau khi tuyên bố tấn công vào các nhà bán lẻ tại Anh như Marks & Spencer (M&S), Co-op, Harrods và sau khi Google cảnh báo rằng nhóm này đang chuyển hướng mục tiêu sang các nhà bán lẻ tại Hoa Kỳ.

Được biết đến từ giữa năm 2023 và hoạt động như một dịch vụ ransomware-as-a-service (RaaS), DragonForce đã tiếp quản cơ sở hạ tầng của RansomHub. Một tác nhân đe dọa được gọi là Scattered Spider và UNC3944, là chi nhánh của RansomHub, đã sử dụng DragonForce trong các cuộc tấn công gần đây.

Phó Đô đốc Peter Reesink, Giám đốc Cơ quan tình báo quân đội Hà Lan (MIVD) cho biết trong một tuyên bố: “Laundry Bear đang theo dõi thông tin về việc mua sắm và sản xuất thiết bị quân sự của các nước phương Tây”. Về phía Nga, hiện vẫn chưa có bình luận ngay lập tức phản ứng về cáo buộc này.

Các tin tặc Nga đã xâm nhập vào một tài khoản cảnh sát và truy cập thông tin liên lạc liên quan đến công việc của tất cả các cảnh sát Hà Lan vào tháng 9 năm ngoái, trong một cuộc tấn công mạng gây chấn động toàn lực lượng. MIVD đã công bố một bản phân tích chi tiết về các phương pháp mà các tin tặc sử dụng để xâm nhập vào mạng máy tính và dịch vụ đám mây.

Các tin tặc Laundry Bear còn được Microsoft gán với biệt danh Void Blizzard, nhóm tin tặc này đã hoạt động ít nhất từ ​​tháng 4/2024 và tập trung mục tiêu vào Ukraine và các quốc gia thành viên NATO.

Chiến thuật, kỹ thuật và quy trình (TTP) của tin tặc Nga bao gồm sử dụng thông tin đăng nhập bị đánh cắp và email lừa đảo để xâm nhập vào hệ thống phòng thủ của mục tiêu. Khi xâm nhập, các tác nhân đe dọa đã thu thập và đánh cắp các tệp tin cũng như email từ hệ thống bị xâm phạm của các nạn nhân.

Microsoft cho biết: “Các hoạt động gián điệp mạng của Void Blizzard có xu hướng nhắm vào các tổ chức cụ thể mà Chính phủ Nga quan tâm, bao gồm các cơ quan trong chính phủ, quốc phòng, giao thông vận tải, truyền thông, các tổ chức phi chính phủ (NGO) và các lĩnh vực chăm sóc sức khỏe, chủ yếu ở châu Âu và Bắc Mỹ. Đặc biệt, hoạt động trọng tâm của tác nhân đe dọa này nhằm vào các mạng lưới trong các lĩnh vực quan trọng gây ra rủi ro cao hơn cho các quốc gia thành viên NATO và các nước đồng minh của Ukraine nói chung”.

Theo đó, Laundry Bear đã xâm phạm các tổ chức trong nhiều lĩnh vực khác nhau tại Ukraine, bao gồm giao thông vận tải và quốc phòng. Vào tháng 10/2024, các tin tặc này cũng đã xâm phạm tài khoản người dùng tại một tổ chức hàng không Ukraine trước đó đã bị tin tặc Seashell Blizzard nhắm mục tiêu vào năm 2022, có liên quan đến Cơ quan tình báo quân đội Nga (GRU).

Vụ tấn công được phát hiện ở Hà Lan chỉ là một trong số nhiều vụ tấn công tương tự đang ngày càng gia tăng trên toàn thế giới. Trong diễn biến mới nhất, Cơ quan An ninh Quốc gia Hoa Kỳ cho biết, các tin tặc làm việc cho tình báo quân sự Nga đã nhắm mục tiêu vào các công ty công nghệ và hậu cần phương Tây tham gia vào hoạt động vận chuyển hỗ trợ tới Ukraine.

Vào tháng 4/2025, Chính phủ Pháp đã cáo buộc một nhóm tin tặc có liên hệ với tình báo quân sự Nga đã thực hiện các cuộc tấn công mạng trong ba năm qua, nhắm vào Thế vận hội Paris, các cơ quan chính phủ và công ty của Pháp.

Sử dụng các trang web giả mạo dưới dạng công cụ tạo video AI hợp pháp, Mandiant cảnh báo rằng nhóm tin tặc UNC6032 đến từ Việt Nam đã thực hiện các tấn công mạng đánh cắp thông tin, nhắm vào các nạn nhân trên khắp các khu vực địa lý và ngành công nghiệp khác nhau.

Chiến dịch lan rộng này đã diễn ra ít nhất từ ​​giữa năm 2024, dụ dỗ những nạn nhân nhẹ dạ cả tin truy cập vào các trang web giả mạo, thông qua hàng nghìn quảng cáo trên các nền tảng mạng xã hội như Facebook, LinkedIn và có khả năng là trên các nền tảng khác nữa.

Hầu hết các quảng cáo chạy trên Facebook, được xuất bản bằng các trang do kẻ tấn công tạo ra hoặc các tài khoản Facebook bị xâm phạm. Meta bắt đầu xóa một số quảng cáo, tên miền và tài khoản độc hại vào năm 2024, trước khi Mandiant thông báo về những phát hiện của mình.

Mandiant cho biết họ đã xác định được hơn 30 trang web giả mạo các công cụ phổ biến như Luma AI, Canva Dream Lab và Kling AI, được quảng bá thông qua mạng lưới hơn 120 quảng cáo trên mạng xã hội gây hiểu lầm, tiếp cận hàng triệu người dùng, trong đó có hơn 2,3 triệu người dùng ở châu Âu.

Hứa hẹn khả năng tạo văn bản thành video hoặc hình ảnh thành video, các trang web giả mạo hiển thị cùng một lời nhắc cho bất kỳ người dùng truy cập nào, sau đó cung cấp một tệp lưu trữ ZIP để tải xuống sau khi quá trình tạo video giả mạo được cho là hoàn tất.

Theo Mandiant, chuỗi lây nhiễm mà công ty quan sát được phụ thuộc rất nhiều vào kỹ thuật DLL sideloading, injection tiến trình và dropper vào bộ nhớ, đồng thời sử dụng key registry AutoRun để duy trì tính bền bỉ. Tệp ZIP chứa tệp thực thi mở rộng cung cấp dropper Starkveil đến máy tính của nạn nhân. Starkveil sau đó thực thi mã độc khác là Coilhatch, triển khai các backdoor XWorm và Frostrift .NET, cùng với downloader .NET Grimpull.

Mandiant quan sát thấy cả XWorm và Frostrift đều thu thập thông tin hệ thống, bao gồm tên người dùng, thông tin hệ điều hành, mã định danh phần cứng và chi tiết phần mềm diệt vi-rút. XWorm cũng chức năng keylogger, trong khi Frostrift kiểm tra một số ứng dụng nhắn tin, trình duyệt và tiện ích mở rộng trình duyệt.

TỔNG QUAN

Cuộc tấn công ban đầu được phát hiện vào tháng 11/2024 khi các nhà nghiên cứu phát hiện ra biến thể của backdoor ThreatNeedle, một trong những công cụ độc hại hàng đầu của nhóm tin tặc Lazarus, được sử dụng để nhắm vào một công ty phần mềm Hàn Quốc.

Kaspersky phát hiện ra rằng phần mềm độc hại này đang chạy trong bộ nhớ của một tiến trình SyncHost[.]exe hợp pháp và được tạo ra như một tiến trình con của Cross EX, phần mềm hợp pháp được phát triển tại Hàn Quốc. Đây có khả năng là điểm khởi đầu cho sự xâm phạm của 5 tổ chức khác tại Hàn Quốc.

Trong môi trường Internet tại Hàn Quốc, các trang web ngân hàng trực tuyến và chính phủ thông thường yêu cầu cài đặt phần mềm bảo mật cụ thể để hỗ trợ các chức năng như chống keylogger. Tuy nhiên, do bản chất của các gói phần mềm này, chúng liên tục chạy ở chế độ nền để tương tác với trình duyệt. Nhóm tin tặc Lazarus cho thấy sự nắm bắt mạnh mẽ về điều này và sử dụng một chiến lược nhắm vào Hàn Quốc kết hợp các lỗ hổng trong phần mềm như vậy với các cuộc tấn công Watering Hole (kẻ tấn công sẽ lây nhiễm vào các trang web để xâm phạm một nhóm người dùng cuối cụ thể). Trung tâm An ninh mạng Quốc gia Hàn Quốc đã công bố khuyến cáo bảo mật vào năm 2023 về các sự cố như vậy và cũng đã công bố các khuyến cáo bảo mật chung bổ sung hợp tác với Chính phủ Vương quốc Anh.

Mặc dù cách thức lạm dụng Cross EX để phân phối phần mềm độc hại vẫn chưa rõ ràng, nhưng các nhà nghiên cứu nhận định rằng những kẻ tấn công đã leo thang các đặc quyền của chúng trong quá trình khai thác. Các sự kiện dưới đây dẫn đến kết luận rằng một lỗ hổng trong phần mềm Cross EX rất có thể đã được khai thác trong chiến dịch tấn công này:

– Phiên bản mới nhất của Cross EX tại thời điểm xảy ra sự cố đã được cài đặt trên các máy tính bị nhiễm.

– Chuỗi thực thi bắt nguồn từ tiến trình Cross EX mà các nhà nghiên cứu quan sát thấy trên các tổ chức mục tiêu đều giống hệt nhau.

– Các sự cố liên quan đến việc tiến trình Synchost bị lạm dụng để nhúng phần mềm độc hại vào đều tập trung trong một khoảng thời gian ngắn: từ tháng 11/2024 đến tháng 02/2025.

Trong cuộc tấn công mới nhất, nhóm Lazarus cũng khai thác một sản phẩm phần mềm khác của Hàn Quốc là Innorix Agent, lợi dụng lỗ hổng để tạo điều kiện cho việc di chuyển ngang hàng, cho phép cài đặt thêm phần mềm độc hại trên máy chủ mục tiêu theo lựa chọn của chúng. Phần mềm bị khai thác, Innorix Agent (phiên bản 9.2.18.450 trở về trước), trước đây đã bị nhóm tin tặc Andariel lạm dụng, trong khi phần mềm độc hại mà Kaspersky thu được nhắm mục tiêu vào phiên bản mới hơn là 9.2.18.496.

Trong khi phân tích hành vi, các nhà nghiên cứu đã phát hiện ra một lỗ hổng zero-day tải xuống tệp tùy ý bổ sung trong Innorix Agent. Kaspersky đã báo cáo các vấn đề này cho Trung tâm điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT) và nhà cung cấp. Phần mềm đã được cập nhật với các phiên bản vá lỗi kể từ đó.

Các hành động này là một phần quan trọng trong chiến lược nhắm vào các thực thể của Hàn Quốc của nhóm Lazarus, trước đây Kaspersky đã tiết lộ một trường hợp tương tự vào năm 2023.

PHÂN TÍCH CHIẾN DỊCH

Vectơ lây nhiễm ban đầu

Tiến trình lây nhiễm bắt đầu khi nạn nhân truy cập vào một số trang web truyền thông trực tuyến của Hàn Quốc. Khi truy cập vào một trang web cụ thể, máy tính đã bị phần mềm độc hại ThreatNeedle xâm nhập, cho thấy trang web này đóng vai trò quan trọng trong việc phân phối backdoor ban đầu. Trong quá trình phân tích, các nhà nghiên cứu phát hiện ra rằng hệ thống bị lây nhiễm đang giao tiếp với một địa chỉ IP đáng ngờ. Kiểm tra thêm cho thấy IP này trỏ đến hai tên trang web, cả hai đều có vẻ là các trang web cho thuê xe được tạo vội vàng bằng cách sử dụng các mẫu HTML có sẵn công khai.

Hình 1. Giao diện của trang web www[.]smartmanagerex[.]com

Trang web đầu tiên là www[.]smartmanagerex [.] com, có vẻ như đang ngụy trang thành một phần mềm hợp pháp. Dựa trên những phát hiện này, các nhà nghiên cứu đã xây dựng lại kịch bản tấn công sau (Hình 2).

Hình 2. Luồng tấn công trong quá trình xâm phạm ban đầu

Do các trang web truyền thông thường được nhiều người dùng truy cập, các tin tặc Lazarus lọc khách truy cập bằng một tập lệnh phía máy chủ và chuyển hướng mục tiêu mong muốn đến một trang web do kẻ tấn công kiểm soát.

Các nhà nghiên cứu đánh giá rằng trang web được chuyển hướng có thể đã thực thi một tập lệnh độc hại, nhắm vào một lỗ hổng trong Cross EX được cài đặt trên máy tính mục tiêu và khởi chạy phần mềm độc hại. Sau đó, tập lệnh cuối cùng đã thực thi tiến trình SyncHost[.]exe hợp pháp và đưa một lệnh shell tải một biến thể của ThreatNeedle vào tiến trình đó. Cuối cùng, phần mềm độc hại được chèn vào tiến trìng SyncHost [.]exe. Theo Kaspersky, nhóm Lazarus đã tiến hành các hoạt động rộng rãi nhắm vào các thực thể lại Hàn Quốc trong vài tháng qua với cùng một lỗ hổng và cùng một cách thức khai thác.

Luồng thực hiện

Kaspersky đã phân tích thành hai giai đoạn dựa trên phần mềm độc hại được sử dụng. Giai đoạn đầu tiên tập trung chủ yếu vào chuỗi thực thi liên quan đến ThreatNeedle và wAgent. Sau đó là giai đoạn thứ hai liên quan đến việc sử dụng SIGNBT và COPPERHEDGE.

Hình 3. Các giai đoạn tấn công được phân tích

Trong trường hợp lây nhiễm đầu tiên, các nhà nghiên cứu đã tìm thấy một biến thể của phần mềm độc hại ThreatNeedle, nhưng trong các cuộc tấn công tiếp theo, phần mềm độc hại SIGNBT đã thay thế, do đó khởi động giai đoạn thứ hai.

Hình 4. Chuỗi lây nhiễm trong toàn bộ hoạt động

Phần mềm độc hại giai đoạn đầu

Trong chuỗi lây nhiễm đầu tiên, nhiều phiên bản cập nhật của phần mềm độc hại trước đó được nhóm Lazarus sử dụng đã được thực thi.

Biến thể của ThreatNeedle

Mẫu ThreatNeedle được sử dụng trong chiến dịch này cũng được gọi là “ThreatNeedleTea”, các nhà nghiên cứu cho biết đây là phiên bản cập nhật của phần mềm độc hại ThreatNeedle. Tuy nhiên, ThreatNeedle trong cuộc tấn công này đã được sửa đổi với các tính năng bổ sung.

Theo đó, ThreatNeedle được chia thành các mẫu Loader và Core. Phiên bản Core lấy năm tệp cấu hình từ C_27098[.]NLS đến C_27102[.]NLS và chứa tổng cộng 37 tập lệnh. Trong khi đó, phiên bản Loader chỉ tham chiếu đến hai tệp cấu hình và chỉ triển khai bốn tập lệnh.

Thành phần Core nhận được lệnh cụ thể từ máy chủ điều khiển và ra lệnh (C2), dẫn đến việc tạo thêm một tệp loader cho mục đích duy trì. Tệp này có thể được ngụy trang thành giá trị ServiceDLL của một dịch vụ hợp lệ trong nhóm netsvcs, dịch vụ IKEEXT hoặc được đăng ký là nhà cung cấp dịch vụ bảo mật (SSP). Cuối cùng, nó tải thành phần ThreatNeedle Loader.

Hình 5. Luồng hành vi để tải ThreatNeedle Loader theo dịch vụ mục tiêu

ThreatNeedle được cập nhật tạo ra một cặp khóa ngẫu nhiên dựa trên thuật toán Curve25519, gửi khóa công khai đến máy chủ C2, sau đó nhận khóa công khai của kẻ tấn công. Cuối cùng, khóa bí mật được tạo ra và khóa công khai của kẻ tấn công được vận hành theo phương pháp vô hướng để tạo ra một khóa chung, sau đó được sử dụng làm khóa cho thuật toán ChaCha20 để mã hóa dữ liệu. Dữ liệu được gửi và nhận ở định dạng JSON.

LPEClient

LPEClient là một công cụ được biết đến với chức năng phân phối payload đã từng được phát hiện trong các cuộc tấn công nhắm vào các nhà thầu quốc phòng và ngành công nghiệp tiền điện tử. Các nhà nghiên cứu đã tiết lộ rằng công cụ này đã được SIGNBT tải khi họ lần đầu tiên ghi nhận phần mềm độc hại SIGNBT.

Biến thể của wAgent

Ngoài ThreatNeedle, một biến thể của phần mềm độc hại wAgent cũng được phát hiện trong các tổ chức mục tiêu. Theo đó, wAgent là một công cụ độc hại mà Kaspersky đã ghi nhận vào năm 2020 và một phiên bản tương tự đã được đề cập trong chiến dịch GoldGoblin. Nguồn gốc tạo ra nó vẫn còn là một bí ẩn, nhưng các nhà nghiên cứu phát hiện ra rằng loader wAgent đã được ngụy trang thành liblzma[.]dll và được thực thi thông qua dòng lệnh rundll32[.]exe c:\Programdata\intel\util[.]dat, afunix 1W2-UUE-ZNO-B99Z. Hàm export sẽ truy xuất tên tệp đã cho 1W2-UUE-ZNO-B99Z trong thư mục C:\ProgramData, đồng thời cũng đóng vai trò là khóa giải mã.

Sau khi chuyển đổi tên tệp này thành định dạng byte, nó sử dụng 16 byte cao nhất của giá trị kết quả làm khóa cho thuật toán AES-128-CBC và giải mã nội dung của tệp nằm trong thư mục C:\ProgramData. Bốn byte trên cùng của dữ liệu được giải mã sau đó biểu thị kích thước của payload, mà các nhà nghiên cứu xác định là phiên bản cập nhật của phần mềm độc hại wAgent.

Biến thể wAgent có khả năng nhận dữ liệu ở cả định dạng form-data và JSON, tùy thuộc vào máy chủ C2 mà nó tiếp cận được. Đáng chú ý, nó bao gồm khóa __Host-next-auth-token trong trường Cookie ở header request trong quá trình giao tiếp, mang theo chuỗi giao tiếp được thêm vào bằng các chữ số ngẫu nhiên.

Trong phiên bản này, thay đổi mới được quan sát thấy là thư viện GNU Multiple-Precision (GMP) được sử dụng để thực hiện các phép tính mã hóa RSA, đây là một thư viện chưa từng thấy trước đây trong phần mềm độc hại được nhóm Lazarus sử dụng. Theo tệp cấu hình wAgent, nó được xác định là phiên bản x64_2[.]1. Phiên bản này quản lý các payload bằng cách sử dụng C++ STL map, tập trung vào việc nhận các payload bổ sung từ C2 và tải chúng trực tiếp vào bộ nhớ, cùng với việc tạo một đối tượng được chia sẻ. Với đối tượng này, mô-đun chính có thể trao đổi các tham số lệnh và kết quả thực thi với các plugin đã phân phối.

Hình 6. Cấu trúc hoạt động của biến thể wAgent

Biến thể của Agamemnon

Trình tải xuống Agamemnon cũng chịu trách nhiệm tải xuống và thực thi các payload bổ sung nhận được từ máy chủ C2. Mặc dù các nhà nghiên cứu không lấy được tệp cấu hình của Agamemnon, nhưng nó nhận lệnh từ C2 và thực thi payload bằng cách phân tích các lệnh và tham số dựa trên các ký tự ; ;, đóng vai trò là dấu phân cách lệnh và tham số. Giá trị của chế độ response được truyền bằng lệnh 2 (Hình 7) xác định cách thực thi payload bổ sung, được phân phối cùng với lệnh 3 (Hình 7). Có hai phương pháp thực thi: Phương pháp đầu tiên là tải payload, thường được sử dụng trong phần mềm độc hại, trong khi phương pháp thứ hai là sử dụng kỹ thuật Tartarus-TpAllocInject nguồn mở, mà các nhà nghiên cứu chưa từng thấy trước đây trong phần mềm độc hại từ nhóm Lazarus.

Hình 7. Cấu trúc của các lệnh nơi dữ liệu bổ sung được truyền qua

Tartarus-TpAllocInject được xây dựng trên một bộ loader mã nguồn mở khác có tên là Tartarus’ Gate. Tartarus’ Gate dựa trên Halo’s Gate, Halo’s Gate lại dựa trên Hell’s Gate. Tất cả các kỹ thuật này được thiết kế để bypass các sản phẩm bảo mật như phần mềm anti-virus và giải pháp EDR, nhưng chúng tải payload theo những cách khác nhau.

Innorix Agent khai thác để di chuyển ngang

Không giống như các công cụ đã đề cập trước đó, Innorix abuser được sử dụng để di chuyển ngang, nó được tải xuống bởi trình tải xuống Agamemnon và khai thác một phiên bản cụ thể của công cụ phần mềm chuyển tệp được phát triển tại Hàn Quốc, Innorix Agent, để tải thêm phần mềm độc hại trên các máy chủ nội bộ.

Innorix Agent có khả năng được cài đặt trên nhiều máy tính của cả công ty và cá nhân tại Hàn Quốc, cùng bất kỳ người dùng nào có phiên bản dễ bị tấn công đều có khả năng trở thành mục tiêu. Phần mềm độc hại nhúng một khóa cấp phép được cho là liên kết với phiên bản 9.2.18.496, cho phép nó thực hiện di chuyển ngang hàng, bằng cách tạo lưu lượng độc hại được ngụy trang thành lưu lượng hợp pháp đối với các máy tính mục tiêu.

Innorix abuser được cung cấp các tham số từ trình tải xuống Agamemnon: IP mục tiêu, URL để tải xuống tệp và kích thước tệp. Sau đó, nó gửi yêu cầu đến IP mục tiêu đó để kiểm tra xem Innorix Agent đã được cài đặt và đang chạy hay chưa. Nếu phản hồi thành công được trả về, phần mềm độc hại sẽ cho rằng phần mềm đang chạy đúng trên máy chủ mục tiêu, đồng thời gửi lưu lượng cho phép mục tiêu tải xuống các tệp bổ sung từ URL đã cho.

Hình 8. Các bước triển khai phần mềm độc hại bổ sung thông qua Innorix abuser

Kẻ tấn công đã tạo một tệp AppVShNotify[.]exe hợp lệ và một tệp USERENV[.]dll độc hại trong cùng một đường dẫn thông qua Innorix abuser, sau đó thực thi tệp AppVShNotify[.]exe bằng một tính năng hợp lệ của phần mềm, cuối cùng dẫn đến việc thực thi ThreatNeedle và LPEClient trên các máy chủ mục tiêu, do đó khởi chạy chuỗi lây nhiễm trên các máy trước đó không bị ảnh hưởng.

Ngoài ra, khi phân tích vào hành vi của phần mềm độc hại, Kaspersky đã xác định được một lỗ hổng tải xuống tệp tùy ý khác áp dụng cho các phiên bản lên đến 9[.]2[.]18[.]538. Được theo dõi là KVE-2025-0014 và các nhà nghiên cứu vẫn chưa tìm thấy bất kỳ bằng chứng nào về việc sử dụng nó trong thực tế. KVE là số nhận dạng lỗ hổng do KrCERT cấp.

Phần mềm độc hại giai đoạn thứ hai

Giai đoạn thứ hai của chiến dịch cũng giới thiệu các phiên bản mới hơn của các công cụ độc hại trước đây từng xuất hiện trong các cuộc tấn công của Lazarus.

SIGNBT

SIGNBT mà Kaspersky ghi nhận vào năm 2023 là phiên bản 1.0, nhưng trong cuộc tấn công này, phiên bản 0.0.1 được sử dụng ở vị trí trên cùng. Ngoài ra, các nhà nghiên cứu đã xác định được một phiên bản mới hơn là SIGNBT 1.2. Không giống như các phiên bản 1.0 và 0.0.1, phiên bản 1.2 có khả năng điều khiển từ xa và tập trung vào việc thực hiện các payload bổ sung. Các nhà phát triển phần mềm độc hại đặt tên cho phiên bản này là Hijacking.

Trong giai đoạn thứ hai của chiến dịch này, SIGNBT 0.0.1 là bản lây nhiễm ban đầu được thực thi trong bộ nhớ trong SyncHost[.]exe để bổ sung phần mềm độc hại. Trong phiên bản này, máy chủ C2 được mã hóa cứng mà không tham chiếu đến bất kỳ tệp cấu hình nào.

Đối với phiên bản 1.2, phần mềm độc hại sẽ thu thập đường dẫn đến tệp cấu hình từ các tài nguyên của nó và thông tin tệp để xác định địa chỉ máy chủ C2. Các nhà nghiên cứu đã có thể trích xuất hai đường dẫn tệp cấu hình từ mỗi mẫu SIGNBT 1.2 đã xác định:

– Đường dẫn tệp cấu hình 1: C:\ProgramData\Samsung\SamsungSettings\settings[.]dat

– Đường dẫn tệp cấu hình 2: C:\ProgramData\Microsoft\DRM\Server\drm[.]ver

Một thay đổi khác trong SIGNBT 1.2 là số lượng tiền tố bắt đầu bằng SIGN được giảm xuống chỉ còn ba: SIGNBTLG, SIGNBTRC và SIGNBTSR. Phần mềm độc hại nhận khóa công khai RSA từ C2 và mã hóa khóa AES được tạo ngẫu nhiên bằng khóa công khai. Tất cả lưu lượng được mã hóa bằng khóa AES đã tạo.

COPPERHEDGE

COPPERHEDGE là một phần mềm độc hại được xuất hiện lần đầu vào năm 2020. Đây là một biến thể Manuscrypt và chủ yếu được sử dụng trong các cuộc tấn công DeathNote cluster. Không giống như các phần mềm độc hại khác được sử dụng trong chiến dịch này, COPPERHEDGE không thay đổi đáng kể, chỉ có một số lệnh được thay đổi so với các phiên bản cũ hơn.

Tuy nhiên, COPPERHEDGE truy xuất thông tin cấu hình như địa chỉ máy chủ C2. Sau đó, phần mềm độc hại sẽ gửi lưu lượng HTTP đến C2 với ba hoặc bốn tham số cho mỗi request, trong đó tên tham số được chọn ngẫu nhiên trong số ba tên theo bất kỳ thứ tự nào.

– Tên tham số HTTP đầu tiên: bih, aqs, org.

– Tên tham số HTTP thứ hai: wib, rlz, uid.

– Tên tham số HTTP thứ ba: tib, hash, lang.

– Tên tham số HTTP thứ tư: ei, ie, oq.

Kẻ tấn công chủ yếu sử dụng phần mềm độc hại COPPERHEDGE để tiến hành trinh sát nội bộ trong chiến dịch. Có tổng cộng 30 lệnh từ 0x2003 đến 0x2032 và 11 mã response từ 0x2040 đến 0x2050 bên trong backdoor COPPERHEDGE.

CƠ SỞ HẠ TẦNG

Trong suốt quá trình chiến dịch này, hầu hết các máy chủ C2 đều là các trang web hợp pháp nhưng bị xâm phạm tại Hàn Quốc, cho thấy thêm rằng chiến dịch tập trung nhiều vào quốc gia Đông Á này. Trong giai đoạn đầu, các trang web truyền thông khác được sử dụng làm máy chủ C2 để tránh phát hiện các cuộc tấn công Watering Hole. Tuy nhiên, khi chuỗi lây nhiễm chuyển sang giai đoạn thứ hai, các trang web hợp pháp trong nhiều lĩnh vực khác cũng bị khai thác.

Không giống như các trường hợp khác, máy chủ C2 của LPEClient được lưu trữ bởi cùng một địa chỉ như www[.]smartmanagerex[.]com, được tạo ra một cách có chủ đích để xâm phạm ban đầu. Vì LPEClient được nhóm Lazarus dựa vào rất nhiều để phân phối các payload bổ sung, nên có khả năng những kẻ tấn công đã cố tình thuê và cấu hình máy chủ, chỉ định một tên miền dưới sự kiểm soát của chúng để duy trì tính linh hoạt hoạt động đầy đủ.

Kaspersky xác nhận rằng tên miền thek-portal[.]com thuộc về một ISP của Hàn Quốc cho đến năm 2020 và là tên miền hợp pháp của một công ty bảo hiểm đã được một công ty khác mua lại. Kể từ đó, tên miền này được duy trì và trạng thái của nó đã thay đổi vào tháng 02/2025, cho thấy nhóm Lazarus đã đăng ký lại tên miền để tận dụng nó trong chiến dịch tấn công này.

NẠN NHÂN

Kaspersky đã xác định được ít nhất 6 tổ chức phần mềm, công nghệ thông tin, tài chính, sản xuất chất bán dẫn và viễn thông tại Hàn Quốc là nạn nhân của Chiến dịch SyncHole. Tuy nhiên, hãng bảo mật này nhận định rằng có nhiều tổ chức khác bị ảnh hưởng trong nhiều ngành công nghiệp khác nhau, xét đến mức độ phổ biến của phần mềm bị Lazarus khai thác trong chiến dịch này.

KẾT LUẬN

Đây không phải là lần đầu tiên nhóm tin tặc Lazarus khai thác tấn công chuỗi cung ứng với sự hiểu biết đầy đủ về hệ sinh thái phần mềm tại Hàn Quốc. Kaspersky đã mô tả các cuộc tấn công tương tự trong các báo cáo phân tích về Bookcode cluster năm 2020, DeathNote cluster năm 2022 và phần mềm độc hại SIGNBT năm 2023. Tất cả các trường hợp này đều nhắm vào phần mềm do các nhà cung cấp Hàn Quốc phát triển, yêu cầu cài đặt cho các dịch vụ ngân hàng trực tuyến và chính phủ. Cả hai sản phẩm phần mềm bị khai thác trong trường hợp này đều phù hợp với các trường hợp trước đó, nghĩa là nhóm Lazarus đang liên tục áp dụng một chiến lược hiệu quả dựa trên các cuộc tấn công chuỗi cung ứng.

Các cuộc tấn công chuyên biệt của nhóm Lazarus nhắm vào chuỗi cung ứng tại Hàn Quốc dự kiến ​​sẽ tiếp tục trong tương lai. Nghiên cứu của Kaspersky trong vài năm qua đã cung cấp bằng chứng cho thấy nhiều nhà cung cấp phát triển phần mềm tại Hàn Quốc đã bị tấn công và nếu mã nguồn của sản phẩm bị xâm phạm, các lỗ hổng zero-day khác có thể tiếp tục được phát hiện. Những kẻ tấn công cũng đang nỗ lực giảm thiểu việc phát hiện bằng cách phát triển phần mềm độc hại mới hoặc cải tiến phần mềm độc hại hiện có. Cụ thể, chúng đưa ra các thay đổi giao tiếp với máy chủ C2, cấu trúc lệnh và cách chúng gửi và nhận dữ liệu.

Samlify là một thư viện xác thực giúp các nhà phát triển tích hợp SAML SSO và Single Log-Out (SLO) vào các ứng dụng Node.js. Đây là một công cụ phổ biến để xây dựng hoặc kết nối với các nhà cung cấp định danh (IdP) và nhà cung cấp dịch vụ (SP) bằng SAML.

Thư viện được sử dụng bởi các nền tảng SaaS, các tổ chức triển khai SSO cho các công cụ nội bộ, các nhà phát triển tích hợp với IdP như Azure AD hoặc Okta. Thư viện này rất phổ biến, đạt hơn 200.000 lượt tải xuống hàng tuần trên npm.

Lỗ hổng này được theo dõi với tên gọi CVE-2025-47949, được đánh giá nghiêm trọng (điểm CVSS v4.0: 9.9) ảnh hưởng đến tất cả các phiên bản Samlify trước 2.10.0. Theo các nhà nghiên cứu, Samlify xác minh đúng rằng tài liệu XML cung cấp định danh của người dùng đã được ký. Tuy nhiên, nó vẫn tiếp tục đọc các Assertions (SAML Assertions chứa thông tin về người dùng, quyền truy cập và các thuộc tính khác) giả mạo từ một phần của XML không được ký.

Kẻ tấn công nắm giữ response SAML đã ký số hợp lệ thông qua việc ngăn chặn hoặc metadata công khai có thể sửa đổi response đó để khai thác lỗ hổng trong thư viện và xác thực như một người dùng khác.

“Tin tặc sau đó lấy tài liệu XML đã ký số hợp lệ này và thao túng nó. Chúng chèn một SAML Assertion độc hại thứ hai vào tài liệu. Assertion độc hại này chứa danh tính của người dùng mục tiêu (ví dụ: tên người dùng của quản trị viên). Ký số hợp lệ từ tài liệu gốc vẫn áp dụng cho các nội dung lành tính trong XML, nhưng cấu trúc dễ bị tấn công của SP sẽ vô tình xử lý xác nhận độc hại, chưa được ký số”, EndorLabs giải thích.

Đây là cách bỏ qua SSO hoàn toàn, cho phép kẻ tấn công từ xa trái phép thực hiện leo thang đặc quyền và đăng nhập với tư cách quản trị viên. Kẻ tấn công không cần tương tác với người dùng hoặc quyền hạn đặc biệt, yêu cầu duy nhất là truy cập vào blob XML đã ký số hợp lệ, khiến việc khai thác trở nên tương đối đơn giản.

Để giảm thiểu rủi ro, người dùng được khuyến nghị nâng cấp lên Samlify phiên bản 2.10.0, được phát hành vào đầu tháng 5. Hiện tại, chưa có báo cáo nào về việc khai thác lỗ hổng CVE-2025-47949 trong thực tế, nhưng người dùng bị ảnh hưởng được khuyến cáo nên hành động ngay lập tức và bảo vệ hệ thống của mình.