Liên hệ
Lazarus Group: Mối đe dọa mạng 2,1 tỷ đô la và chiến lược phòng thủ của bạn

Lazarus Group: Mối đe dọa mạng 2,1 tỷ đô la và chiến lược phòng thủ của bạn

  • 10:33 sáng

Tóm tắt

Lazarus Group, một tổ chức tin tặc được chính phủ Bắc Triều Tiên bảo trợ, đã vượt qua các hình thức tội phạm mạng truyền thống. Tổ chức này, hoạt động dưới sự chỉ đạo của Tổng cục Trinh sát (RGB), đã trở thành động lực chính thúc đẩy tội phạm mạng tài chính toàn cầu, tạo ra hơn 2,1 tỷ đô la Mỹ từ việc đánh cắp tiền điện tử chỉ trong nửa đầu năm 2025. Nhiều báo cáo từ các ngành và chính phủ đã chỉ ra rằng các cuộc tấn công này có liên quan đến các mục tiêu chiến lược rộng lớn hơn của Bắc Triều Tiên, làm tăng rủi ro từ mất mát tài chính thành một mối lo ngại an ninh địa chính trị lớn hơn.

Bài viết này phân tích các chiến thuật tiên tiến của Lazarus và trình bày cách Nền tảng Quản lý Mối đe dọa Mở (OTM) Seceon hoạt động như một công cụ phòng thủ, giúp các tổ chức phát hiện, điều tra và ứng phó với các yếu tố của các cuộc tấn công này.

Sự tiến hóa của mối đe dọa Lazarus: Chiến tranh tài chính cấp quốc gia

Lazarus (còn được gọi là APT38, Bluenoroff và Hidden Cobra) đã tăng cường độ tinh vi của mình một cách đáng kể theo thời gian. Chúng không còn dựa vào phần mềm độc hại đơn giản mà sử dụng các cuộc tấn công đa giai đoạn, đa nền tảng, tương tự như kỹ thuật của các đơn vị gián điệp tiên tiến.

Các chiến thuật, kỹ thuật và quy trình (TTP) chính

Các TTP của Lazarus được ánh xạ rộng rãi vào Khung MITRE ATT&CK, với trọng tâm lớn vào việc trốn tránh và duy trì sự tồn tại lâu dài:

  • Truy cập ban đầu: Tấn công spearphishing có độ nhắm mục tiêu cao và khai thác các nhà cung cấp đáng tin cậy thông qua xâm phạm chuỗi cung ứng (T1195).
  • Trốn tránh phòng thủ: Các kỹ thuật “Living-off-the-Land” sử dụng các công cụ hợp pháp như PowerShell và obfuscation sâu để trốn tránh các công cụ bảo mật truyền thống.
  • Duy trì: Truy cập lâu dài thông qua các tác vụ đã lên lịch và tạo dịch vụ.
  • Thu thập & Xuất dữ liệu: Phần mềm độc hại chuyên dụng như RustBucket (macOS) và Comebacker (Windows) để đánh cắp dữ liệu qua các kênh điều khiển và chỉ huy được mã hóa (T1071).

Tại sao bảo mật truyền thống thất bại trước Lazarus

Các giải pháp bảo mật cũ – được xây dựng trên chữ ký, quy tắc tĩnh và tương quan thủ công – phải vật lộn với tốc độ, quy mô và khả năng tàng hình của Lazarus Group.

  • Mệt mỏi vì cảnh báo: Các SIEM điển hình tạo ra hàng ngàn cảnh báo hàng ngày, phần lớn trong số đó là dương tính giả. Hoạt động tinh vi của Lazarus có thể bị mất trong mớ hỗn độn, làm tăng khả năng phản ứng chậm trễ.
  • Giới hạn tương quan thủ công: Các cuộc tấn công của Lazarus trải rộng trên các lớp điểm cuối, đám mây, danh tính và mạng trong một khoảng thời gian dài. Tương quan các tín hiệu yếu này theo cách thủ công là cực kỳ khó khăn ở quy mô doanh nghiệp.
  • Điểm mù đa nền tảng: Nhiều tổ chức có phạm vi bảo mật không đồng đều trên các hệ điều hành. Lazarus thường nhắm mục tiêu vào các môi trường ít được bảo vệ nhất.
  • Kỹ thuật trốn tránh: Giao tiếp được mã hóa, lạm dụng các dịch vụ đám mây hợp pháp để điều khiển và chỉ huy, và trì hoãn việc thực thi thường bỏ qua các biện pháp phòng thủ chu vi.
  • Không phù hợp về tốc độ: Khai thác tự động có thể xảy ra trong vài phút, trong khi nhiều quy trình ứng phó bảo mật thủ công vẫn mất hàng giờ.

Nền tảng Seceon như một công cụ phòng thủ trong chiến lược bảo mật hợp nhất

Nền tảng Quản lý Mối đe dọa Mở (OTM) Seceon được thiết kế để đóng vai trò là một lớp phát hiện và ứng phó tập trung, hỗ trợ các tổ chức trong việc xác định, tương quan và ứng phó với các hành vi tấn công nâng cao liên quan đến các mối đe dọa như Lazarus.

1. Phân tích hành vi dựa trên AI (UEBA)

Seceon áp dụng phân tích hành vi để thiết lập các đường cơ sở về hành vi bình thường của người dùng và thực thể. Điều này cho phép xác định sớm hơn các điểm bất thường thường xuất hiện trong các cuộc xâm nhập tinh vi.

Ví dụ phát hiện:

Một tài khoản nhà phát triển truy cập mã tiền điện tử nhạy cảm vào một giờ bất thường, tải xuống một bộ dữ liệu lớn không cân xứng và khởi tạo kết nối mạng đến các IP nước ngoài chưa từng thấy trước đây.

Kết quả:

Thay vì coi đây là những cảnh báo có mức độ ưu tiên thấp riêng lẻ, Seceon tương quan chúng thành một mục điều tra rủi ro cao duy nhất để các nhóm bảo mật xem xét với đầy đủ bối cảnh hoạt động.

2. Khả năng hiển thị hợp nhất đa nền tảng

Nền tảng này được thiết kế để giúp giảm khoảng cách hiển thị trên các môi trường đa dạng:

  • Khu vực bảo hiểm: Windows, macOS, điểm cuối Linux, lưu lượng mạng, các nền tảng đám mây lớn (AWS, Azure, GCP) và hệ thống danh tính (Active Directory, Okta).
  • Tương quan hoạt động: Nếu hoạt động của phần mềm độc hại macOS xuất hiện trên máy trạm của nhà phát triển, Seceon có thể giúp hiển thị các tín hiệu liên quan trên các nguồn điểm cuối, mạng, đám mây và danh tính trong một chế độ xem điều tra hợp nhất.

3. Bật phản hồi tự động (SOAR 4.0)

Seceon cung cấp các khả năng tự động hóa được thiết kế để giúp các nhóm bảo mật phản ứng nhanh hơn sau khi các mối đe dọa được xác định.

Hành động Quy trình thủ công điển hình Tự động hóa được bật bởi Seceon
Phát hiện mối đe dọa Hàng giờ đến hàng ngày Gần thời gian thực
Hành động ngăn chặn 1-2 giờ Giây thông qua sách hướng dẫn
Chu kỳ phản hồi đầy đủ 4-24 giờ Phút, tùy thuộc vào chính sách

Sách hướng dẫn tự động hóa có thể hỗ trợ các hành động như:

  • Cách ly các điểm cuối sau khi phát hiện phần mềm độc hại được xác nhận
  • Đình chỉ thông tin xác thực bị xâm phạm
  • Kiểm dịch email spearphishing
  • Gắn cờ các giao dịch tiền điện tử có rủi ro cao để xem xét thêm

Các biện pháp kiểm soát này giúp giảm thời gian lưu trú của kẻ tấn công và hạn chế bán kính vụ nổ, ngay cả trong các tình huống xâm nhập diễn ra nhanh chóng.

4. Các trường hợp sử dụng phòng thủ có mục tiêu cho các mối đe dọa nâng cao

Seceon được thiết kế để hỗ trợ phát hiện và ứng phó trên các giai đoạn tấn công thường được sử dụng bởi các nhóm mối đe dọa nâng cao:

  • Phát hiện chiến dịch kỹ thuật xã hội: Tương quan việc sử dụng miền đáng ngờ, tài liệu hỗ trợ macro và hoạt động tạo tập lệnh tiếp theo.
  • Giám sát chuỗi cung ứng: Theo dõi hành vi bất thường của nhà phát triển, hoạt động kho lưu trữ bất thường và tín hiệu tính toàn vẹn của quy trình xây dựng.
  • Giám sát giao dịch tiền điện tử: Gắn cờ hành vi ví bất thường và tích hợp với các nguồn cấp dữ liệu tình báo blockchain để phân tích rủi ro.

Kết luận: Tăng cường phòng thủ chống lại các mối đe dọa tài chính nâng cao

Mô hình hoạt động được thể hiện bởi Lazarus Group phản ánh sự hội tụ của khả năng cấp quốc gia và tội phạm mạng có động cơ tài chính ở quy mô chưa từng có. Rủi ro hiện vượt ra ngoài các tổ chức cá nhân đến sự ổn định kinh tế và địa chính trị rộng lớn hơn.

Các tổ chức trong các lĩnh vực có rủi ro cao – chẳng hạn như tiền điện tử, dịch vụ tài chính và cơ sở hạ tầng quan trọng – được hưởng lợi từ việc chuyển đổi khỏi các hoạt động bảo mật thủ công, biệt lập sang các mô hình phòng thủ thống nhất, dựa trên phân tích nhiều hơn. Các nền tảng như OTM của Seceon đóng góp vào sự thay đổi này bằng cách hỗ trợ phát hiện nhanh hơn, khả năng hiển thị rộng hơn và phản ứng phối hợp hơn giữa các nhóm bảo mật.

Thay vì cho rằng bất kỳ nền tảng đơn lẻ nào có thể ngăn chặn hoàn toàn một đối thủ cấp quốc gia, mục tiêu là giảm đáng kể mức độ phơi nhiễm, rút ngắn thời gian lưu trú của kẻ tấn công và cải thiện khả năng của tổ chức trong việc phòng thủ chống lại các chiến thuật, kỹ thuật và hành vi thường được sử dụng bởi các nhóm mối đe dọa nâng cao như Lazarus.

Giải thích thuật ngữ

  • APT (Advanced Persistent Threat):
    Một nhóm tấn công mạng tinh vi, thường được tài trợ bởi nhà nước, có khả năng xâm nhập và duy trì sự hiện diện bí mật trong hệ thống của mục tiêu trong thời gian dài.
  • MITRE ATT&CK Framework:
    Một cơ sở kiến thức và mô hình để phân loại và mô tả hành vi của các đối tượng đe dọa mạng, giúp các tổ chức hiểu rõ hơn về các cuộc tấn công và cải thiện khả năng phòng thủ của mình.
  • Spearphishing:
    Một kỹ thuật tấn công lừa đảo có mục tiêu cao, trong đó kẻ tấn công gửi email hoặc tin nhắn được cá nhân hóa đến một cá nhân hoặc nhóm cụ thể, nhằm đánh lừa họ tiết lộ thông tin nhạy cảm hoặc cài đặt phần mềm độc hại.
  • Living-off-the-Land:
    Một kỹ thuật tấn công mạng, trong đó kẻ tấn công sử dụng các công cụ và quy trình hợp pháp có sẵn trong hệ thống mục tiêu để thực hiện các hành động độc hại, giúp chúng tránh bị phát hiện dễ dàng hơn.
  • SIEM (Security Information and Event Management):
    Một hệ thống quản lý thông tin và sự kiện bảo mật, thu thập và phân tích dữ liệu từ nhiều nguồn khác nhau trong một tổ chức để phát hiện các mối đe dọa và sự cố bảo mật.
  • UEBA (User and Entity Behavior Analytics):
    Một phương pháp phân tích hành vi của người dùng và các thực thể (như máy tính, ứng dụng) trong mạng để phát hiện các hoạt động bất thường có thể chỉ ra các mối đe dọa bảo mật.
  • SOAR (Security Orchestration, Automation and Response):
    Một giải pháp tự động hóa và phối hợp các quy trình bảo mật, giúp các tổ chức phản ứng nhanh chóng và hiệu quả hơn đối với các sự cố bảo mật.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

Keeper Security tích hợp ServiceNow để tăng cường bảo mật và ứng phó tấn công mạng

Keeper Security ra mắt tích hợp ServiceNow để tăng cường khả năng hiển thị và ứng phó với các cuộc …

INE Mở Rộng Đột Phá Trong Đào Tạo Kỹ Năng Chéo, Nâng Cao Lực Lượng Lao Động

INE Mở Rộng Đột Phá Trong Đào Tạo Kỹ Năng Chéo Cary, North Carolina, Hoa Kỳ, ngày 26 tháng 11 năm …

Detego Global ra mắt nền tảng quản lý vụ việc cho pháp lý kỹ thuật số và ứng phó sự cố

Detego Global, công ty đứng sau nền tảng pháp lý kỹ thuật số thống nhất (Unified Digital Forensics Platform) vừa …

Những bộ công cụ Phishing tân tiến sử dụng AI và chiến thuật vượt mặt MFA để đánh cắp thông tin đăng nhập trên diện rộng

Các nhà nghiên cứu an ninh mạng vừa phát hiện bốn bộ công cụ lừa đảo (phishing kit) mới với …