Phát hiện framework mới trong các cuộc tấn công mạng của nhóm tin tặc Lazarus

Mới đây, Lazarus – nhóm hacker khét tiếng có mối liên hệ mật thiết với chính phủ Triều Tiên, đã phát triển một framework phần mềm độc hại đa nền tảng mới với mục đích xâm nhập các tổ chức, công ty trên toàn cầu nhằm đánh cắp cơ sở dữ liệu khách hàng và phân phối mã độc tống tiền ransomware.

Khung phần mềm độc hại MATA này (MATA framework) có khả năng tấn công vào hệ điều hành Windows, Linux lẫn macOS, và đi kèm với một loạt các tính năng được thiết kế để thực hiện nhiều hoạt động độc hại trên các máy tính bị nhiễm độc. Được biết nó được đặt tên theo một cơ sở hạ tầng có tên là “MataNet”.

Chiến dịch MATA được cho là bắt đầu từ tháng 4 năm 2018, với nạn nhân bắt nguồn từ các công ty không tên tuổi trong các lĩnh vực phát triển phần mềm, thương mại điện tử và cung cấp dịch vụ internet tại Ba Lan, Đức, Thổ Nhĩ Kỳ, Hàn Quốc, Nhật Bản và Ấn Độ, công ty an ninh mạng Kaspersky cho biết trong một báo cáo phân tích gần đây.

Báo cáo này đã cung cấp cái nhìn toàn diện về MATA, và góp phần hoàn thiện thêm nghiên cứu về framework mới này dựa trên các bằng chứng đã thu thập được trong suốt tám tháng qua bởi các nhà nghiên cứu từ Netlab 360, Jamf và Malwarebytes.

Vào tháng 12 năm ngoái, Netlab đã tiết lộ về một Trojan điều khiển từ xa có đầy đủ chức năng (RAT) được gọi là Dacls. Trojan này tấn công vào cả hệ điều hành Windows và Linux, đồng thời nó có chung một cơ sở hạ tầng với mã độc được vận hành bởi nhóm tin tặc Lazarus.

Sau đó vào tháng 5, Jamf và Malwarebytes lại phát hiện thêm một biến thể của Dacls RAT trên macOS. Nó đã được phân phối thông qua một ứng dụng xác thực hai yếu tố bị trojan hóa (2FA – two-factor authentication).

North Korean Hackers Ransomware Attack

Lần phát hiện mới đây nhất cho thấy phiên bản Windows của MATA bao gồm một loader (trình tải) được sử dụng để tải một payload giai đoạn tiếp đã được mã hóa. Payload này là một orchestrator module (mô-đun bộ điều phối) (“lsass.exe”) có khả năng tải cùng lúc 15 plugin bổ sung và thực thi chúng trong bộ nhớ.

Bản thân các plugin này có chứa nhiều tính năng khác nhau. Vậy nên, khai thác nó sẽ cho phép mã độc thao túng các file và process (tiến trình) của hệ thống, chèn các file DLL (thư viện liên kết động) và tạo ra một máy chủ proxy HTTP.

Các plugin MATA này cũng cho phép tin tặc tấn công vào các thiết bị mạng không đĩa trên Linux như bộ định tuyến (router), tường lửa hay thiết bị IoT. Đồng thời, nó cho phép nhắm mục tiêu vào các hệ thống macOS bằng cách ngụy trang thành một ứng dụng 2FA có tên là TinkaOTP. Được biết ứng dụng TinkaOTP giả này dựa trên một ứng dụng xác thực hai yếu tố mã nguồn mở có thật tên là MinaOTP.

Sau khi các plugin được triển khai, các tin tặc sẽ cố gắng xác định vị trí cơ sở dữ liệu của công ty bị xâm nhập và thực thi một số truy vấn cơ sở dữ liệu để thu thập thông tin chi tiết về khách hàng. Tuy nhiên cho đến hiện tại vẫn chưa rõ liệu những tin tặc này đã thu thập thành công những dữ liệu trên hay chưa. Hơn nữa, các nhà nghiên cứu Kaspersky cho biết MATA đã được sử dụng để phân phối ransomware VHD và nhắm tới một nạn nhân ẩn danh.

Kaspersky cho biết họ cho rằng MATA có liên quan tới nhóm tin tặc Lazarus Group là do các định dạng tên file đặc biệt có trong bộ điều phối (“c_2910.cls” và “k_3872.cls”), vì trước đây định dạng này đã được thấy trong một số biến thể của mã độc Manuscrypt.

North Korean Hackers Ransomware Attack

Lazarus là một nhóm tin tặc nổi danh của Triều Tiên còn được biết đến với tên gọi Hidden Cobra (Rắn Hổ Mang Ẩn) hay APT38. Nó từng có liên quan tới nhiều cuộc tấn công mạng tầm cỡ trên toàn cầu như vụ xâm nhập vào hệ thống máy chủ của Sony Pictures vào năm 2014 hay vụ hack hệ thống ngân hàng của SWIFT năm 2016 và nổi tiếng nhất là vụ lây nhiễm mã độc tống tiền WannaCry vào năm 2017.

Gần đây nhất, nhóm APT này đã thêm web skimming vào danh mục tấn công của chúng và nhắm mục tiêu tới các trang web thương mại điện tử của Hoa Kỳ và châu Âu để tạo ra các skimmer thanh toán dựa trên JavaScript.

Thiên hướng tấn công nhằm động cơ tài chính của Lazarus gần đây đã khiến Bộ Ngân khố Hoa Kỳ phải tuyên bố lệnh trừng phạt với nhóm tin tặc này cùng với hai tiểu nhóm của nó là Bluenoroff và Andariel vào tháng 9 năm ngoái.

Theo The hacker news

Securitydaily.net