Liên hệ
Nhóm Lazarus mở rộng kho vũ khí phần mềm độc hại với PondRAT, ThemeForestRAT và RemotePE

Nhóm Lazarus mở rộng kho vũ khí phần mềm độc hại với PondRAT, ThemeForestRAT và RemotePE

  • 10:04 chiều

Nhóm tin tặc Lazarus, nổi tiếng với liên kết đến Bắc Triều Tiên, bị cáo buộc đứng sau một chiến dịch tấn công sử dụng kỹ thuật “kỹ nghệ xã hội” (social engineering) để phát tán ba loại mã độc khác nhau: PondRAT, ThemeForestRAT và RemotePE. Mục tiêu của chúng là các tổ chức hoạt động trong lĩnh vực tài chính phi tập trung (DeFi).

Các chuyên gia bảo mật từ Fox-IT (thuộc NCC Group) đã phát hiện ra cuộc tấn công này vào năm 2024. Nhóm Lazarus đã xâm nhập thành công vào hệ thống của một nhân viên trong tổ chức DeFi.

Theo Yun Zheng Hu và Mick Koomen của Fox-IT, tin tặc đã sử dụng nhiều công cụ khác nhau, bao gồm cả các loại RAT (Remote Access Trojan – công cụ truy cập từ xa), để thăm dò mạng nội bộ, thu thập thông tin đăng nhập và thiết lập kết nối proxy. Sau đó, chúng chuyển sang sử dụng một loại RAT tinh vi hơn, có lẽ là để chuẩn bị cho giai đoạn tấn công tiếp theo.

Chiến dịch bắt đầu bằng việc kẻ tấn công giả mạo một nhân viên của một công ty giao dịch tiền điện tử trên Telegram. Chúng sử dụng các trang web giả mạo, trông giống như Calendly và Picktime, để lên lịch cuộc họp với nạn nhân.

Mặc dù phương thức xâm nhập ban đầu chưa được xác định rõ, nhưng tin tặc đã sử dụng một công cụ tải (loader) có tên PerfhLoader để cài đặt PondRAT. Các nhà nghiên cứu cho rằng PondRAT là một biến thể rút gọn của POOLRAT (hay còn gọi là SIMPLESEA). Ngoài ra, có bằng chứng cho thấy nhóm Lazarus có thể đã khai thác một lỗ hổng zero-day (lỗ hổng chưa được biết đến) trên trình duyệt Chrome để thực hiện cuộc tấn công.

Cùng với PondRAT, tin tặc còn cài đặt thêm nhiều công cụ khác, bao gồm trình chụp ảnh màn hình, keylogger (phần mềm theo dõi thao tác bàn phím), công cụ đánh cắp cookie và thông tin đăng nhập trên Chrome, Mimikatz, FRPC và các chương trình proxy như MidProxy và Proxy Mini.

Fox-IT mô tả PondRAT là một RAT đơn giản, cho phép kẻ điều khiển đọc/ghi tập tin, khởi động tiến trình và chạy shellcode. Loại mã độc này đã xuất hiện từ năm 2021.

Tin tặc đã sử dụng kết hợp PondRAT và ThemeForestRAT trong khoảng ba tháng, sau đó gỡ bỏ chúng và cài đặt RemotePE, một RAT phức tạp hơn.

PondRAT được thiết kế để liên lạc với một máy chủ điều khiển (C2) được chỉ định sẵn qua giao thức HTTP(S) để nhận lệnh. ThemeForestRAT được khởi chạy trực tiếp trong bộ nhớ thông qua PondRAT hoặc một trình tải chuyên dụng.

Tương tự như PondRAT, ThemeForestRAT theo dõi các phiên Remote Desktop (RDP) mới và liên hệ với máy chủ C2 qua HTTP(S) để lấy lệnh. Nó có thể thực hiện nhiều tác vụ như liệt kê tập tin/thư mục, thao tác với tập tin, thực thi lệnh, kiểm tra kết nối TCP, thay đổi dấu thời gian của tập tin, lấy danh sách tiến trình, tải tập tin, tiêm shellcode, tạo tiến trình mới và tạm ngưng hoạt động trong một khoảng thời gian nhất định.

Fox-IT cho biết ThemeForestRAT có nhiều điểm tương đồng với một loại mã độc có tên RomeoGolf. Mã độc này từng được nhóm Lazarus sử dụng trong cuộc tấn công phá hoại vào Sony Pictures Entertainment (SPE) vào tháng 11 năm 2014. RomeoGolf đã được Novetta ghi lại trong khuôn khổ một chiến dịch hợp tác có tên Operation Blockbuster.

RemotePE là một RAT tiên tiến hơn, được viết bằng C++. Nó được tải xuống từ máy chủ C2 thông qua RemotePELoader, và RemotePELoader lại được DPAPILoader tải. Có vẻ như RemotePE chỉ được sử dụng để tấn công các mục tiêu giá trị cao.

Fox-IT nhận định rằng PondRAT là một RAT cơ bản, không có nhiều tính năng linh hoạt, nhưng nó hoàn thành tốt vai trò là một công cụ xâm nhập ban đầu. Để thực hiện các tác vụ phức tạp hơn, tin tặc sử dụng ThemeForestRAT, một công cụ mạnh mẽ hơn và khó bị phát hiện hơn vì nó chỉ hoạt động trong bộ nhớ.

Giải thích thuật ngữ:

  • Kỹ nghệ xã hội (Social Engineering): Là kỹ thuật lợi dụng tâm lý con người để đánh lừa họ cung cấp thông tin cá nhân hoặc thực hiện các hành động có lợi cho kẻ tấn công.
  • DeFi (Decentralized Finance): Là hệ thống tài chính phi tập trung, hoạt động dựa trên công nghệ blockchain, không chịu sự kiểm soát của các tổ chức tài chính truyền thống.
  • RAT (Remote Access Trojan): Là một loại phần mềm độc hại cho phép kẻ tấn công truy cập và điều khiển máy tính của nạn nhân từ xa.
  • Zero-day exploit: Lợi dụng các lỗ hổng bảo mật chưa được biết đến hoặc chưa có bản vá để tấn công hệ thống.
  • HTTP(S): Giao thức truyền tải siêu văn bản (có bảo mật hoặc không) dùng để giao tiếp giữa trình duyệt web và máy chủ.
  • C2 server (Command and Control Server): Máy chủ được tin tặc sử dụng để điều khiển các máy tính bị nhiễm mã độc.
  • Shellcode: Một đoạn mã nhỏ được thiết kế để thực thi các lệnh trên hệ thống bị xâm nhập.
  • Keylogger: Phần mềm gián điệp bí mật ghi lại thao tác gõ phím của người dùng.
  • Proxy: Một máy chủ trung gian cho phép ẩn địa chỉ IP thật của người dùng khi truy cập internet.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Trung Tâm Tin Cậy và AI Thay Thế Bảng Hỏi An Ninh, Thúc Đẩy Bán Hàng B2B

Trong những tuần cuối cùng của một quý kinh doanh, có một điều kỳ lạ thường xảy ra. Dù các …

Công cụ mạnh mẽ để bảo vệ danh tính phi con người

Các tổ chức đang ngày càng chú trọng việc tăng cường khả năng phòng thủ trước các mối đe dọa …

Sendmarc Bổ Nhiệm Rob Bowker Thúc Đẩy DMARC tại Bắc Mỹ

Sendmarc vừa công bố Rob Bowker sẽ đảm nhận vị trí lãnh đạo khu vực Bắc Mỹ, mở ra một …

6 Bí quyết vàng để bảo vệ an ninh vật lý theo chuẩn CMMC

6 Bí quyết vàng để bảo vệ an ninh vật lý theo chuẩn CMMC Chữ C đầu tiên trong CMMC là …