Hacker Triều Tiên lợi dụng Windows Update để cài malware vào PC nạn nhân

Thứ Hai 28/08/2023
GVN360

Hacker Triều Tiên đã cài malware vào máy tính của nạn nhân bằng phương pháp khá là tinh xảo.

Theo Malwarebytes Labs, Lazarus – một nhóm hoạt động (activist group) nổi tiếng của Triều Tiên – đang sử dụng Windows Update để phát tán malware, qua đó “vượt rào” những cơ chế bảo mật và lợi dụng Github để làm máy chủ điều khiển cho các đợt tấn công gần đây. Mới đây, đội ngũ Malwarebytes Threat Intelligence đã phát hiện một chiến dịch mới trong 2 tập tin Word được dùng trong một chiến dịch lừa đảo liên quan đến việc giả mạo tuyển dụng tại Lockheed Martin.

Triều Tiên malware

Mục tiêu của Lazarus là xâm nhập vào các cơ quan cấp cao của chính phủ chuyên về mảng quốc phòng và hàng không vũ trụ, từ đó lấy cắp càng nhiều dữ liệu càng tốt. Hai file tài liệu kia có tên là Lockheed_Martin_JobOpportunities.docx và Salary_Lockheed_Martin_job_opportunities_confidential.doc. Theo như tên của 2 tập tin này thì có vẻ như đây là mồi nhử để dụ dỗ nạn nhân tham khảo về cơ hội việc làm mới tại Lockheed Martin.

Một loạt các lệnh macro độc hại được nhúng vào 2 file Word này. Chúng sẽ bắt đầu xâm nhập vào hệ thống khi được kích hoạt, và nhúng đoạn mã kia vào trong hệ thống khởi động (startup system) của máy tính ngay lập tức để đảm bảo rằng việc khởi động lại PC sẽ không thể loại bỏ được virus.

Triều Tiên malware

Điều thú vị ở đây là một phần quá trình nhúng mã độc có sử dụng Windows Update Client để cài DLL độc hại. Đây là một chiêu rất tinh xảo vì nó có thể “vượt rào” hệ thống bảo mật trong máy tính. Phương pháp tấn công này khá là mới mẻ, nhưng chiến thuật lừa đảo thì không có gì bất ngờ cả. Chiến thuật này giống với những lần tấn công trước đây của Lazarus trong năm vừa qua.

Lazarus sẽ dụ dỗ các nhân viên của chính phủ tin rằng họ đủ điều kiện để ngồi vào vị trí vốn được rất nhiều người ước ao. Tuy nhiên, đây chỉ là bề ngoài mà thôi, chứ thực chất mục tiêu của Lazarus là lấy cắp thông tin quan trọng trong PC của những nạn nhân này.

Malwarebytes, ESET, McAfee đều đang theo dõi Lazarus sát sao để xem nước đi tiếp theo của nhóm này là gì. Đợt chiến dịch vừa rồi của nhóm này đạt được thành công rất lớn vì đã xâm nhập vào hàng tá công ty và tổ chức trên toàn cầu, bao gồm cả Israel.

Tóm tắt ý chính:

Lazarus – một nhóm hoạt động nổi tiếng của Triều Tiên – sử dụng Windows Update để phát tán malware
Điều thú vị ở đây là một phần quá trình nhúng mã độc có sử dụng Windows Update Client để cài DLL độc hại
Cách này giúp họ “vượt rào” những cơ chế bảo mật và tận dụng Github để làm máy chủ điều khiển cho các đợt tấn công
Mục tiêu của Lazarus là xâm nhập vào các cơ quan cấp cao của chính phủ trong mảng quốc phòng và hàng không vũ trụ để lấy cắp dữ liệu

Mời các bạn tham khảo thêm một số thông tin liên quan tại GVN 360 như:

Nguồn: tom’s HARDWARE