Tin tặc mạo danh HR để tấn công nhân viên cấp cao của các nhà thầu quốc phòng
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cho công bố một báo cáo để cảnh báo các công ty về một loại mã độc nguy hiểm đang bị khai thác trên thực tế. CISA cho rằng mã độc này được tạo bởi Lazarus – nhóm tin tặc khét tiếng của Triều Tiên và được sử dụng để theo dõi các nhân viên chủ chốt thuộc các nhà thầu chính phủ.
Được đặt tên là ‘ BLINDINGCAN, ‘ mã độc RAT này (remote access trojan ) có chức năng như một backdoor khi nó được cài đặt trên các máy tính bị xâm nhập.
Theo FBI và CISA thì nhóm tin tặc nổi danh của Triều Tiên Lazarus Group (hay Hidden Cobra ) chính là kẻ đứng sau điều khiển và phát tán BLINDINGCAN. Mục đích của chúng là để “thu thập các thông tin tình báo liên quan đến các công nghệ năng lượng và quân sự quan trọng”.
Để đạt được điều này, đầu tiên những kẻ tấn công sẽ nhắm mục tiêu tới các nhân vật tầm cỡ trong các bộ máy mà chúng quan tâm. Sau đó, chúng sẽ thực hiện nghiên cứu hoạt động của họ trên các mạng xã hội liên quan đến công việc. Cuối cùng, những kẻ tấn công này sẽ mạo danh nhà tuyển dụng để gửi các file tài liệu có chứa mã độc, ngụy trang dưới dạng các tài liệu liên quan công việc và lời mời làm việc.
Tuy nhiên, những chiêu trò tấn công phi kỹ thuật và lừa đảo việc làm như trên không phải là mới lạ. Gần đây, một chiến dịch gián điệp mạng tương tự của Triều Tiên cũng bị phát hiện đang nhắm vào các khu vực quốc phòng của Israel.
“Chúng đã tạo những hồ sơ giả trên Linkedin, một mạng xã hội được sử dụng chủ yếu để tìm kiếm việc làm trong các lĩnh vực công nghệ cao,” Bộ Ngoại giao Israel cho biết.
“Những kẻ tấn công này đã mạo danh các nhà quản lý, CEO và nhân viên giữ chức vụ cao tại các bộ phận nhân sự, cũng như giả mạo thành người đại diện của các công ty quốc tế nổi tiếng. Sau đó chúng liên hệ với các nhân viên thuộc các ngành công nghiệp quốc phòng hàng đầu của Israel, với mục đích lôi kéo họ vào các cuộc trò chuyện và dụ họ bằng nhiều cơ hội làm việc hấp dẫn.
“Trong quá trình gửi lời mời làm việc, những kẻ tấn công đã cố gắng xâm nhập vào máy tính của những nhân viên này, để có thể xâm nhập vào mạng của họ và thu thập các thông tin bảo mật quan trọng. Chúng đồng thời cũng tấn công các trang web chính thức của một loạt công ty để hack hệ thống của họ.”
Báo cáo của CISA cho biết kẻ tấn công đang điều khiển BLINDINGCAN từ xa thông qua một cơ sở hạ tầng bị nhiễm độc từ nhiều quốc gia. Mã độc này sẽ cho phép chúng:
Truy xuất thông tin của tất cả các đĩa (disk) đã cài đặt, bao gồm thông tin về loại đĩa cũng như dung lượng trống của nó
Tạo, bắt đầu và kết thúc một tiến trình mới và luồng thực thi chính của nó
Tìm kiếm, đọc, ghi, di chuyển và thực thi các file
Nhận và sửa đổi dấu thời gian của file hoặc thư mục
Thay đổi thư mục hiện tại cho một tiến trình hoặc file
Xóa mã độc và các công cụ (artifact) liên quan đến mã độc khỏi hệ thống bị lây nhiễm.
Các công ty an ninh mạng Trend Micro và ClearSky cũng đã công bố một báo cáo để phân tích chi tiết chiến dịch này.
“Sau khi lây nhiễm thành công, những kẻ tấn công đã thu thập nhiều thông tin tình báo liên quan đến các hoạt động kinh doanh của công ty. Chúng đồng thời cũng thu thập các thông tin liên quan đến tình hình tài chính của công ty, có thể là với ý định lấy trộm tiền từ nó. Kịch bản kép vừa gián điệp, vừa trộm tiền là một trong những đặc trưng riêng biệt của các nhóm tin tặc đến từ Triều Tiên. Quốc gia này luôn vận hành các đơn vị tình báo với hai mục tiêu chính: đánh cắp thông tin và tiền bạc cho chính phủ.”
Theo báo cáo, nhóm tin tặc này không chỉ liên lạc với nạn nhân thông qua email mà chúng còn thực hiện các cuộc phỏng vấn trực tuyến với họ, chủ yếu qua Skype.
“Duy trì liên lạc trực tiếp, bên cạnh việc gửi email phishing , là một chiến thuật tương đối hiếm trong các nhóm gián điệp nhà nước (APTs). Tuy nhiên, bước đi này đã giúp Lazarus có thể đảm bảo được sự thành công của các cuộc tấn công. Điều này sẽ được phân tích rõ hơn trong báo cáo,” các nhà nghiên cứu nói.
CISA đã công bố các thông tin kỹ thuật liên quan đến BLINDINGCAN để hỗ trợ các công ty phát hiện xâm nhập. Cơ quan này cũng đề xuất một loạt các biện pháp khắc phục khác nhau để giúp các công ty giảm thiểu tối đa nguy cơ bị tấn công bởi mã độc nguy hiểm này.
Theo The Hacker News
The post Tin tặc mạo danh HR để tấn công nhân viên cấp cao của các nhà thầu quốc phòng appeared first on SecurityDaily .
Related News
Top News
-
![]()
Microsoft cảnh báo: tin tặc Bắc Triều Tiên sử dụng trí tuệ nhân tạo trong hoạt động gián điệp trực tuyếnMicrosoft tiết lộ rằng các nhóm tin tặc do nhà nước tài trợ, có liên quan đến Bắc Triều Tiên, đã bắt đầu sử dụng trí tuệ nhân tạo (AI) để gia...
-
![]()
Cảnh báo mã độc Redline Stealer có thể ảnh hưởng hệ thống thông tin tại Việt NamNgay trước đợt nghỉ lễ 30/4 và 1/5, Cục An toàn thông tin (Bộ TT&TT) cảnh báo về biến thể mới của mã độc Redline Stealer có thể ảnh...
-
![]()
Google ngừng sử dụng cookie của bên thứ ba theo quy định Vương quốc AnhGoogle đã một lần nữa thúc đẩy kế hoạch ngừng sử dụng cookie theo dõi của bên thứ ba trong trình duyệt web Chrome của...
-
![]()
Mã độc SoumniBot tận dụng lỗi Android để ẩn náu tinh viMột mã độc ngân hàng Android mới tên là SoumniBot đang sử dụng phương pháp che giấu ít phổ biến hơn bằng cách khai thác điểm yếu trong quy trình...
-
![]()
Google giới thiệu tính năng cảnh báo URL được cải tiến cho người dùng ChromeVào thứ Năm, Google đã công bố phiên bản nâng cấp của Safe Browsing để cung cấp tính năng bảo vệ URL theo thời gian thực, bảo mật quyền riêng tư...
-
![]()
Mã hoá đường cong Elliptic cơ bản và ứng dụng trong trao đổi khoá Diffie-HellmanCùng tìm hiểu về mã hoá đường cong Elliptic cơ bản và cách ứng dụng chúng trong trao đổi khoá Diffie-Hellman qua bài viết dưới đây. Để hiểu được...