-
09/04/2020
-
124
-
1.540 bài viết
Tin tặc Konni và làn sóng tấn công mới bằng mã độc PowerShell “hỗ trợ AI”
Một nhóm tin tặc mang tên Konni vừa bị các công ty an ninh mạng quốc tế phát hiện đang triển khai một chiến dịch tấn công mới, sử dụng mã độc PowerShell được cho là có sự hỗ trợ từ trí tuệ nhân tạo (AI). Chiến dịch này không chỉ mở rộng phạm vi tấn công ra nhiều quốc gia châu Á - Thái Bình Dương mà còn nhắm thẳng vào các nhóm lập trình viên, kỹ sư và môi trường phát triển phần mềm trong lĩnh vực blockchain. Điều này làm dấy lên lo ngại về nguy cơ xâm nhập sâu vào chuỗi cung ứng công nghệ và đánh cắp dữ liệu ở quy mô lớn.
Konni là một nhóm tin tặc đã hoạt động ít nhất từ năm 2014, được nhiều tổ chức an ninh mạng theo dõi dưới các tên gọi khác nhau như Earth Imp, TA406, Opal Sleet hay Vedalia. Trong nhiều năm, nhóm này chủ yếu nhắm mục tiêu vào các tổ chức, cá nhân tại Hàn Quốc, phục vụ các mục tiêu tình báo và chiến lược chính trị.
Tuy nhiên, theo các báo cáo kỹ thuật mới nhất từ Check Point Research và Trung tâm An ninh Genians (Hàn Quốc), Konni đang mở rộng đáng kể phạm vi hoạt động. Các cuộc tấn công gần đây đã ghi nhận nạn nhân tại Nhật Bản, Australia và Ấn Độ, cho thấy tham vọng vượt ra ngoài các mục tiêu truyền thống tại Hàn Quốc, châu Âu hay Đông Âu.
Phát hiện chiến dịch tấn công mới như thế nào?
Các nhà nghiên cứu phát hiện chiến dịch mới của Konni thông qua việc phân tích các email lừa đảo có chủ đích (spear-phishing) nhắm vào giới kỹ thuật và phát triển phần mềm. Những email này được thiết kế tinh vi, giả mạo thông báo tài chính, yêu cầu xác nhận giao dịch hoặc tài liệu dự án, khiến nạn nhân dễ mất cảnh giác.
Đáng chú ý, nhóm tin tặc đã lợi dụng các nền tảng hợp pháp và quen thuộc như Google Ads, Naver Ads, Discord CDN và các website WordPress cấu hình kém bảo mật để phân phối mã độc, qua đó vượt qua nhiều lớp lọc an ninh email truyền thống.
Đáng chú ý, nhóm tin tặc đã lợi dụng các nền tảng hợp pháp và quen thuộc như Google Ads, Naver Ads, Discord CDN và các website WordPress cấu hình kém bảo mật để phân phối mã độc, qua đó vượt qua nhiều lớp lọc an ninh email truyền thống.
Đây có phải là “lỗ hổng” của hệ thống không?
Không giống các sự cố thuần túy về lỗ hổng phần mềm có mã CVE cụ thể, chiến dịch này khai thác sự kết hợp giữa nhiều điểm yếu khác nhau trong hệ sinh thái CNTT, bao gồm:
- Lỗ hổng về nhận thức người dùng trước email lừa đảo tinh vi
- Việc các nền tảng hợp pháp cho phép chuyển hướng URL, bị lợi dụng làm trung gian phát tán mã độc
- Lạm dụng các thành phần hệ điều hành Windows như PowerShell, LNK, AutoIt và cơ chế UAC
Do đó, chiến dịch không gắn với một CVE duy nhất, mà là một chuỗi tấn công đa tầng, tận dụng các chức năng hợp pháp bị sử dụng sai mục đích.
Phân tích chuỗi tấn công của Konni
Theo các chuyên gia, chiến dịch mới sử dụng các tệp ZIP được ngụy trang thành tài liệu yêu cầu dự án hoặc hồ sơ kỹ thuật. Các tệp này thường được lưu trữ trên hạ tầng hợp pháp như Discord CDN hoặc website WordPress bị chiếm quyền.
Bên trong file ZIP là một tệp PDF làm mồi nhử và một shortcut Windows (LNK). Khi người dùng mở tệp LNK, một PowerShell loader ẩn bên trong sẽ được kích hoạt. Loader này tiếp tục giải nén thêm các thành phần khác, bao gồm tài liệu Word giả mạo để đánh lạc hướng nạn nhân và một file CAB chứa mã độc chính.
Mã độc PowerShell sau đó thực hiện nhiều bước kiểm tra nhằm phát hiện môi trường phân tích, máy ảo hoặc sandbox. Nếu vượt qua các kiểm tra này, nó tiến hành thu thập thông tin hệ thống, tìm cách leo thang đặc quyền thông qua kỹ thuật bypass UAC như FodHelper, đồng thời thiết lập cơ chế tồn tại lâu dài bằng Scheduled Task.
Ở giai đoạn cuối, mã độc tải và cài đặt SimpleHelp (một công cụ quản trị từ xa hợp pháp) để duy trì quyền kiểm soát máy nạn nhân, kết nối với máy chủ điều khiển (C2) được bảo vệ bằng cơ chế mã hóa nhằm tránh bị phát hiện.
Bên trong file ZIP là một tệp PDF làm mồi nhử và một shortcut Windows (LNK). Khi người dùng mở tệp LNK, một PowerShell loader ẩn bên trong sẽ được kích hoạt. Loader này tiếp tục giải nén thêm các thành phần khác, bao gồm tài liệu Word giả mạo để đánh lạc hướng nạn nhân và một file CAB chứa mã độc chính.
Mã độc PowerShell sau đó thực hiện nhiều bước kiểm tra nhằm phát hiện môi trường phân tích, máy ảo hoặc sandbox. Nếu vượt qua các kiểm tra này, nó tiến hành thu thập thông tin hệ thống, tìm cách leo thang đặc quyền thông qua kỹ thuật bypass UAC như FodHelper, đồng thời thiết lập cơ chế tồn tại lâu dài bằng Scheduled Task.
Ở giai đoạn cuối, mã độc tải và cài đặt SimpleHelp (một công cụ quản trị từ xa hợp pháp) để duy trì quyền kiểm soát máy nạn nhân, kết nối với máy chủ điều khiển (C2) được bảo vệ bằng cơ chế mã hóa nhằm tránh bị phát hiện.
Dấu hiệu cho thấy mã độc được tạo bằng AI
Mã độc PowerShell trong chiến dịch này có nhiều đặc điểm bất thường, như cấu trúc module rõ ràng, tài liệu chú thích dễ đọc và các comment mang tính “hướng dẫn”, ví dụ như “your permanent project UUID”. Đây là những dấu hiệu cho thấy mã nguồn có thể đã được tạo hoặc hỗ trợ bởi công cụ AI, nhằm tăng tốc độ phát triển và chuẩn hóa mã độc.
Việc sử dụng AI không tạo ra kỹ thuật hoàn toàn mới, nhưng giúp tin tặc rút ngắn thời gian triển khai, giảm lỗi và dễ dàng tái sử dụng mã trong các chiến dịch khác nhau.
Việc sử dụng AI không tạo ra kỹ thuật hoàn toàn mới, nhưng giúp tin tặc rút ngắn thời gian triển khai, giảm lỗi và dễ dàng tái sử dụng mã trong các chiến dịch khác nhau.
Mục tiêu thực sự của chiến dịch là gì?
Khác với các chiến dịch lừa đảo tài chính nhắm vào người dùng cá nhân, mục tiêu của Konni lần này dường như là xâm nhập vào môi trường phát triển phần mềm. Khi kiểm soát được máy của lập trình viên hoặc kỹ sư, nhóm tin tặc có thể mở rộng tấn công sang nhiều dự án, hệ thống và dịch vụ liên quan, từ đó tạo ra hiệu ứng dây chuyền nguy hiểm.
Điều này đặc biệt đáng lo ngại trong lĩnh vực blockchain, nơi mã nguồn, khóa truy cập và hạ tầng phát triển có giá trị rất lớn.
Điều này đặc biệt đáng lo ngại trong lĩnh vực blockchain, nơi mã nguồn, khóa truy cập và hạ tầng phát triển có giá trị rất lớn.
Rủi ro và hậu quả tiềm ẩn
Việc chuỗi tấn công này bị khai thác thành công có thể dẫn tới nhiều hậu quả nghiêm trọng:
- Đánh cắp dữ liệu nhạy cảm, mã nguồn, thông tin xác thực
- Cài cắm backdoor lâu dài trong hệ thống doanh nghiệp
- Mở đường cho các cuộc tấn công chuỗi cung ứng
- Gây tổn thất tài chính và uy tín cho tổ chức bị xâm nhập
Ngoài ra, các chiến dịch song song khác của tin tặc như Andariel hay các biến thể RAT mới (TigerRAT, StarshellRAT, JelusRAT, GopherRAT), cho thấy mối đe dọa này mang tính hệ thống, lâu dài và linh hoạt theo mục tiêu chiến lược.
Khuyến nghị từ các chuyên gia an ninh mạng
Các chuyên gia WhiteHat khuyến cáo tổ chức và cá nhân cần đặc biệt thận trọng với email đính kèm hoặc liên kết, kể cả khi chúng được dẫn qua các nền tảng quen thuộc như Google hay Discord. Môi trường phát triển phần mềm cần được giám sát chặt chẽ, hạn chế quyền PowerShell, kiểm soát LNK và AutoIt, đồng thời theo dõi bất thường trong Scheduled Task và kết nối mạng.
Do đây không phải là lỗ hổng có bản vá cụ thể, biện pháp phòng thủ hiệu quả nhất vẫn là nâng cao nhận thức, triển khai giám sát hành vi và áp dụng nguyên tắc “zero trust” trong nội bộ hệ thống.
Chiến dịch mới của nhóm Konni cho thấy tin tặc đang ngày càng tinh vi, không chỉ dựa vào lỗ hổng phần mềm mà còn khai thác sâu yếu tố con người, hạ tầng hợp pháp và thậm chí cả công cụ AI. Việc nhắm vào môi trường phát triển phần mềm thay vì người dùng cá nhân phản ánh một bước leo thang nguy hiểm, đòi hỏi cộng đồng an ninh mạng và các tổ chức công nghệ phải nhìn nhận lại cách bảo vệ hệ thống của mình trong bối cảnh mối đe dọa ngày càng phức tạp.
Do đây không phải là lỗ hổng có bản vá cụ thể, biện pháp phòng thủ hiệu quả nhất vẫn là nâng cao nhận thức, triển khai giám sát hành vi và áp dụng nguyên tắc “zero trust” trong nội bộ hệ thống.
Chiến dịch mới của nhóm Konni cho thấy tin tặc đang ngày càng tinh vi, không chỉ dựa vào lỗ hổng phần mềm mà còn khai thác sâu yếu tố con người, hạ tầng hợp pháp và thậm chí cả công cụ AI. Việc nhắm vào môi trường phát triển phần mềm thay vì người dùng cá nhân phản ánh một bước leo thang nguy hiểm, đòi hỏi cộng đồng an ninh mạng và các tổ chức công nghệ phải nhìn nhận lại cách bảo vệ hệ thống của mình trong bối cảnh mối đe dọa ngày càng phức tạp.