Hacker Triều Tiên lợi dụng Windows Update để cài malware vào PC nạn nhân

Hacker Triều Tiên lợi dụng Windows Update để cài malware vào PC nạn nhân

 Tai nghe SteelSeries Arctis Nova 5 Black

Tai nghe SteelSeries Arctis Nova 5 Black

4.290.000₫
3.490.000₫ -19%
0.0 (0 đánh giá)
Đã bán: 1
 Tai nghe SteelSeries Xbox Arctis Nova 5 Black

Tai nghe SteelSeries Xbox Arctis Nova 5 Black

4.290.000₫
3.490.000₫ -19%
0.0 (0 đánh giá)
Đã bán: 1
 Tai nghe Asus ROG Cetra II Core

Tai nghe Asus ROG Cetra II Core

1.290.000₫
800.000₫ -38%
0.0 (0 đánh giá)
Đã bán: 1061
 Màn hình ViewSonic VX2882-4KP 28

Màn hình ViewSonic VX2882-4KP 28" IPS 4K 150Hz HDR10 USBC

9.490.000₫
8.490.000₫ -11%
0.0 (0 đánh giá)
Đã bán: 2
 Bàn phím cơ AKKO 5075B Plus Transparent ASA Black Piano Pro

Bàn phím cơ AKKO 5075B Plus Transparent ASA Black Piano Pro

1.990.000₫
1.690.000₫ -15%
0.0 (0 đánh giá)
Đã bán: 5
 Màn hình AOC Q24G4E 24

Màn hình AOC Q24G4E 24" IPS 2K 180Hz G-Sync chuyên game

4.790.000₫
4.490.000₫ -6%
0.0 (0 đánh giá)
Đã bán: 9
 Tai nghe Razer Barracuda X 2022 Mecury

Tai nghe Razer Barracuda X 2022 Mecury

2.390.000₫
1.890.000₫ -21%
0.0 (0 đánh giá)
Đã bán: 8
 Màn hình Viewsonic VA2432-H 24

Màn hình Viewsonic VA2432-H 24" IPS 100Hz viền mỏng

4.550.000₫
1.890.000₫ -58%
0.0 (0 đánh giá)
Đã bán: 786
 Chuột không dây Logitech M331 Silent Black

Chuột không dây Logitech M331 Silent Black

349.000₫
300.000₫ -14%
0.0 (0 đánh giá)
Đã bán: 540
GEARVN - Máy chơi game MSI Claw A1M

Máy chơi game MSI Claw A1M

21.490.000₫
14.490.000₫ -33%
0.0 (0 đánh giá)
Vừa mở bán
 Sạc nhanh Ugreen Robot CD361 35314 cổng USB-C và USB-A GaN 65W (Tím)

Sạc nhanh Ugreen Robot CD361 35314 cổng USB-C và USB-A GaN 65W (Tím)

630.000₫
590.000₫ -6%
0.0 (0 đánh giá)
Đã bán: 1
 Bàn phím Bluetooth Rapoo Ralemo Pre 5 RA Trắng

Bàn phím Bluetooth Rapoo Ralemo Pre 5 RA Trắng

650.000₫
590.000₫ -9%
0.0 (0 đánh giá)
Đã bán: 64
Mục lục

Hacker Triều Tiên đã cài malware vào máy tính của nạn nhân bằng phương pháp khá là tinh xảo.

Theo Malwarebytes Labs, Lazarus – một nhóm hoạt động (activist group) nổi tiếng của Triều Tiên – đang sử dụng Windows Update để phát tán malware, qua đó “vượt rào” những cơ chế bảo mật và lợi dụng Github để làm máy chủ điều khiển cho các đợt tấn công gần đây. Mới đây, đội ngũ Malwarebytes Threat Intelligence đã phát hiện một chiến dịch mới trong 2 tập tin Word được dùng trong một chiến dịch lừa đảo liên quan đến việc giả mạo tuyển dụng tại Lockheed Martin.

Triều Tiên malware

Mục tiêu của Lazarus là xâm nhập vào các cơ quan cấp cao của chính phủ chuyên về mảng quốc phòng và hàng không vũ trụ, từ đó lấy cắp càng nhiều dữ liệu càng tốt. Hai file tài liệu kia có tên là Lockheed_Martin_JobOpportunities.docx và Salary_Lockheed_Martin_job_opportunities_confidential.doc. Theo như tên của 2 tập tin này thì có vẻ như đây là mồi nhử để dụ dỗ nạn nhân tham khảo về cơ hội việc làm mới tại Lockheed Martin.

Một loạt các lệnh macro độc hại được nhúng vào 2 file Word này. Chúng sẽ bắt đầu xâm nhập vào hệ thống khi được kích hoạt, và nhúng đoạn mã kia vào trong hệ thống khởi động (startup system) của máy tính ngay lập tức để đảm bảo rằng việc khởi động lại PC sẽ không thể loại bỏ được virus.

Triều Tiên malware

Điều thú vị ở đây là một phần quá trình nhúng mã độc có sử dụng Windows Update Client để cài DLL độc hại. Đây là một chiêu rất tinh xảo vì nó có thể “vượt rào” hệ thống bảo mật trong máy tính. Phương pháp tấn công này khá là mới mẻ, nhưng chiến thuật lừa đảo thì không có gì bất ngờ cả. Chiến thuật này giống với những lần tấn công trước đây của Lazarus trong năm vừa qua.

Lazarus sẽ dụ dỗ các nhân viên của chính phủ tin rằng họ đủ điều kiện để ngồi vào vị trí vốn được rất nhiều người ước ao. Tuy nhiên, đây chỉ là bề ngoài mà thôi, chứ thực chất mục tiêu của Lazarus là lấy cắp thông tin quan trọng trong PC của những nạn nhân này.

Malwarebytes, ESET, McAfee đều đang theo dõi Lazarus sát sao để xem nước đi tiếp theo của nhóm này là gì. Đợt chiến dịch vừa rồi của nhóm này đạt được thành công rất lớn vì đã xâm nhập vào hàng tá công ty và tổ chức trên toàn cầu, bao gồm cả Israel.

Tóm tắt ý chính:

  • Lazarus – một nhóm hoạt động nổi tiếng của Triều Tiên – sử dụng Windows Update để phát tán malware
  • Điều thú vị ở đây là một phần quá trình nhúng mã độc có sử dụng Windows Update Client để cài DLL độc hại
  • Cách này giúp họ “vượt rào” những cơ chế bảo mật và tận dụng Github để làm máy chủ điều khiển cho các đợt tấn công
  • Mục tiêu của Lazarus là xâm nhập vào các cơ quan cấp cao của chính phủ trong mảng quốc phòng và hàng không vũ trụ để lấy cắp dữ liệu

Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:

Nguồn: tom’s HARDWARE

Bình luận của bạn sẽ được duyệt trước khi đăng lên