-
09/04/2020
-
108
-
977 bài viết
Lazarus phát tán mã độc GolangGhost bằng kỹ thuật ClickFix trong chiến dịch mới
Một chiến dịch gián điệp mạng tinh vi do cụm tác nhân nâng cao thuộc Lazarus Group vừa bị vạch trần bởi nhóm Sekoia Threat Detection and Response (TDR). Chiến dịch, mang tên “ClickFake Interview”, sử dụng kỹ thuật thao túng tâm lý có chủ đích gọi là ClickFix để phát tán mã độc GolangGhost, nhắm vào các tổ chức trong lĩnh vực tiền mã hóa và công nghệ.
ClickFake Interview là chiến thuật xã hội học đánh lừa nạn nhân bằng cách giả dạng quá trình tuyển dụng, phỏng vấn việc làm. Tin tặc tạo ra các thông điệp mạo danh nhà tuyển dụng, dụ người dùng tương tác với tài liệu hoặc đường dẫn chứa mã độc bằng cách viện lý do chuẩn bị cho buổi phỏng vấn. Chiến dịch này nằm trong một chuỗi tấn công có tên “ContagiousInterview”, phản ánh sự đổi mới trong chiến lược khai thác của Lazarus nhằm vào đối tượng trong hệ sinh thái tài sản số đang tăng trưởng mạnh.
Cốt lõi của chiến dịch là kỹ thuật ClickFix, một quy trình khai thác nhiều giai đoạn được thiết kế để đảm bảo tính bền vững và khó bị phát hiện. Quy trình này thường bắt đầu bằng tệp giả mạo chứa mã độc nhúng (malicious embed), sử dụng các loader trung gian như script PowerShell, macro Office hoặc tệp shortcut để qua mặt hệ thống phòng chống. Sau khi được kích hoạt, mã độc sử dụng kỹ thuật tải payload theo tầng (staged delivery), trong đó shellcode hoặc dropper được mã hóa và giải mã tại runtime, từ đó triển khai GolangGhost một cách âm thầm và tránh bị sandbox ghi nhận hành vi.
GolangGhost là một implant backdoor được phát triển bằng ngôn ngữ lập trình Go nhằm tối ưu khả năng hoạt động đa nền tảng, hỗ trợ cả Windows, Linux và macOS. Mã độc này giao tiếp với máy chủ điều khiển (C2) qua kênh mã hóa, tích hợp các module có thể tải động (dynamic modules), cho phép thực hiện các chức năng từ xa như thực thi lệnh hệ thống, đánh cắp thông tin nhạy cảm, thu thập file, quét mạng nội bộ và di chuyển ngang trong môi trường doanh nghiệp. Ngoài khả năng modular hóa, mã độc còn sử dụng kỹ thuật làm mờ mã (obfuscation), giả lập hành vi bình thường và tránh các hook API thường dùng trong hệ thống giám sát.
Chiến dịch ContagiousInterview phản ánh sự tiến hóa đáng kể trong chiến thuật, kỹ thuật và quy trình (TTPs) của Lazarus Group. Việc kết hợp giữa yếu tố xã hội và cơ chế triển khai mã độc phức tạp như ClickFix giúp nâng cao tỷ lệ nhiễm thành công đồng thời giảm khả năng bị phát hiện sớm. Mục tiêu tập trung vào các tổ chức và cá nhân trong lĩnh vực tiền mã hóa cho thấy động cơ tài chính và tình báo chiến lược tiếp tục là trọng tâm của nhóm tin tặc này.
Về phát hiện này, chuyên gia WhiteHat cho biết: “ClickFix về bản chất là một chuỗi khai thác kết hợp giữa xã hội học và kỹ thuật khai thác trung gian. Lazarus tận dụng mô hình điều khiển phân tầng (staged execution) để tránh bị sandbox ghi nhận toàn bộ hành vi. Mã độc GolangGhost cho thấy sự đầu tư rõ rệt với khả năng modular hóa và tránh phân tích ngược bằng cách làm mờ mã cũng như tránh hook API. ClickFix không chỉ là một phương thức phát tán, nó là một quy trình lừa đảo có chủ đích, có kịch bản và có tính thích ứng cao theo hành vi người dùng. Đây là dấu hiệu rõ ràng cho thấy Lazarus đang đầu tư mạnh vào cả kỹ thuật và khai thác yếu tố con người.”
Phân tích chuyên sâu từ Sekoia không chỉ giúp làm sáng tỏ phương thức tấn công mới mà còn cung cấp cái nhìn toàn diện về cách tin tặc tích hợp thao túng xã hội và kỹ thuật lập trình tiên tiến nhằm vượt qua hàng rào bảo mật truyền thống. Các tổ chức hoạt động trong lĩnh vực crypto, fintech và công nghệ được khuyến nghị tăng cường bộ lọc email, triển khai các giải pháp EDR mạnh mẽ và đẩy mạnh đào tạo nhận thức về spear-phishing kiểu mới như ClickFake Interview.
Sự xuất hiện của ClickFix và GolangGhost cho thấy Lazarus đang tiến hành điều chỉnh kỹ thuật tấn công theo hướng vừa tăng độ tùy biến vừa tăng khả năng vượt qua phòng tuyến phân tích hành vi. Các đội ngũ phòng thủ cần chú trọng phát hiện tải động, giám sát tiến trình bất thường, kiểm soát các công cụ quản trị từ xa bị lạm dụng và tăng cường khả năng phản hồi sự cố ở cấp độ con người, vốn vẫn là mắt xích dễ bị khai thác bởi cả nhóm APT và các tổ chức tội phạm mạng.
ClickFake Interview là chiến thuật xã hội học đánh lừa nạn nhân bằng cách giả dạng quá trình tuyển dụng, phỏng vấn việc làm. Tin tặc tạo ra các thông điệp mạo danh nhà tuyển dụng, dụ người dùng tương tác với tài liệu hoặc đường dẫn chứa mã độc bằng cách viện lý do chuẩn bị cho buổi phỏng vấn. Chiến dịch này nằm trong một chuỗi tấn công có tên “ContagiousInterview”, phản ánh sự đổi mới trong chiến lược khai thác của Lazarus nhằm vào đối tượng trong hệ sinh thái tài sản số đang tăng trưởng mạnh.
Cốt lõi của chiến dịch là kỹ thuật ClickFix, một quy trình khai thác nhiều giai đoạn được thiết kế để đảm bảo tính bền vững và khó bị phát hiện. Quy trình này thường bắt đầu bằng tệp giả mạo chứa mã độc nhúng (malicious embed), sử dụng các loader trung gian như script PowerShell, macro Office hoặc tệp shortcut để qua mặt hệ thống phòng chống. Sau khi được kích hoạt, mã độc sử dụng kỹ thuật tải payload theo tầng (staged delivery), trong đó shellcode hoặc dropper được mã hóa và giải mã tại runtime, từ đó triển khai GolangGhost một cách âm thầm và tránh bị sandbox ghi nhận hành vi.
GolangGhost là một implant backdoor được phát triển bằng ngôn ngữ lập trình Go nhằm tối ưu khả năng hoạt động đa nền tảng, hỗ trợ cả Windows, Linux và macOS. Mã độc này giao tiếp với máy chủ điều khiển (C2) qua kênh mã hóa, tích hợp các module có thể tải động (dynamic modules), cho phép thực hiện các chức năng từ xa như thực thi lệnh hệ thống, đánh cắp thông tin nhạy cảm, thu thập file, quét mạng nội bộ và di chuyển ngang trong môi trường doanh nghiệp. Ngoài khả năng modular hóa, mã độc còn sử dụng kỹ thuật làm mờ mã (obfuscation), giả lập hành vi bình thường và tránh các hook API thường dùng trong hệ thống giám sát.
Chiến dịch ContagiousInterview phản ánh sự tiến hóa đáng kể trong chiến thuật, kỹ thuật và quy trình (TTPs) của Lazarus Group. Việc kết hợp giữa yếu tố xã hội và cơ chế triển khai mã độc phức tạp như ClickFix giúp nâng cao tỷ lệ nhiễm thành công đồng thời giảm khả năng bị phát hiện sớm. Mục tiêu tập trung vào các tổ chức và cá nhân trong lĩnh vực tiền mã hóa cho thấy động cơ tài chính và tình báo chiến lược tiếp tục là trọng tâm của nhóm tin tặc này.
Về phát hiện này, chuyên gia WhiteHat cho biết: “ClickFix về bản chất là một chuỗi khai thác kết hợp giữa xã hội học và kỹ thuật khai thác trung gian. Lazarus tận dụng mô hình điều khiển phân tầng (staged execution) để tránh bị sandbox ghi nhận toàn bộ hành vi. Mã độc GolangGhost cho thấy sự đầu tư rõ rệt với khả năng modular hóa và tránh phân tích ngược bằng cách làm mờ mã cũng như tránh hook API. ClickFix không chỉ là một phương thức phát tán, nó là một quy trình lừa đảo có chủ đích, có kịch bản và có tính thích ứng cao theo hành vi người dùng. Đây là dấu hiệu rõ ràng cho thấy Lazarus đang đầu tư mạnh vào cả kỹ thuật và khai thác yếu tố con người.”
Phân tích chuyên sâu từ Sekoia không chỉ giúp làm sáng tỏ phương thức tấn công mới mà còn cung cấp cái nhìn toàn diện về cách tin tặc tích hợp thao túng xã hội và kỹ thuật lập trình tiên tiến nhằm vượt qua hàng rào bảo mật truyền thống. Các tổ chức hoạt động trong lĩnh vực crypto, fintech và công nghệ được khuyến nghị tăng cường bộ lọc email, triển khai các giải pháp EDR mạnh mẽ và đẩy mạnh đào tạo nhận thức về spear-phishing kiểu mới như ClickFake Interview.
Sự xuất hiện của ClickFix và GolangGhost cho thấy Lazarus đang tiến hành điều chỉnh kỹ thuật tấn công theo hướng vừa tăng độ tùy biến vừa tăng khả năng vượt qua phòng tuyến phân tích hành vi. Các đội ngũ phòng thủ cần chú trọng phát hiện tải động, giám sát tiến trình bất thường, kiểm soát các công cụ quản trị từ xa bị lạm dụng và tăng cường khả năng phản hồi sự cố ở cấp độ con người, vốn vẫn là mắt xích dễ bị khai thác bởi cả nhóm APT và các tổ chức tội phạm mạng.
Theo Cyber Press và WhiteHat