Cảnh báo nóng: Đừng ham hố tò mò CV của Le Xuan Son, kẻo "đời không như là mơ" đâu nhé! ⚠️

Cái giá phải trả có thể nặng hơn cả việc bạn tưởng tượng đấy fam ơi!

Chiến dịch tấn công Hanoi Thief: Dùng CV giả để cài mã độc vào doanh nghiệp

Giới nghiên cứu bảo mật tại SEQRITE Labs vừa bóc phốt một chiến dịch tấn công mạng cực kỳ tinh vi, mang tên đầy drama "Operation Hanoi Thief". Đợt tấn công này đang nhắm thẳng vào các phòng ban IT và HR tại Việt Nam, với chiêu trò quen thuộc nhưng vẫn "ăn chắc": ngụy trang mã độc thành CV xin việc. Trò này cũ rích nhưng vẫn hiệu quả vô cùng luôn!

Được phát hiện lần đầu vào ngày 3/11, chiến dịch này exploit sự mất cảnh giác của người dùng bằng cách spam email đính kèm mã độc. Mục tiêu cuối của bọn hacker là xâm nhập vào mạng nội bộ của doanh nghiệp, chiếm quyền kiểm soát hệ thống, rồi tha hồ đánh cắp data khách hàng và bí mật kinh doanh siêu giá trị. Nghe xong mà muốn khóc luôn á!

Cách thức lây lan mã độc tinh vi

Theo các expert bảo mật, bọn tấn công đã gửi email hồ sơ xin việc với file đính kèm mang tên "Le Xuan Son CV.zip". Khi giải nén ra thì bên trong có hai file: một file tên "CV.pdf.lnk" và file còn lại là "offsec-certified-professional.png".

Do được cải trang bằng icon của file PDF và PNG, nên ae dễ dàng nghĩ đây là bộ hồ sơ bình thường thôi. Nhưng khi bạn click vào file LNK, boom! Nó sẽ kích hoạt virus LOTUSHARVEST – một loại mã độc được thiết kế chuyên nghiệp để "hốt" thông tin nhạy cảm như password, lịch sử truy cập rồi gửi thẳng về máy chủ của hacker. RIP data!

20108cd51db89fa2be40.jpg


Theo thông tin từ GBHackers, CV giả mạo này xuất phát từ Hà Nội và thậm chí có cả tài khoản GitHub được tạo từ năm 2021 cơ đấy. Tuy nhiên, các nhà nghiên cứu phát hiện tài khoản này trống rỗng hoàn toàn, không hề đăng tải bất cứ thông tin gì, chứng tỏ nhiều khả năng nó chỉ được setup để phục vụ cho chiến dịch tấn công này thôi. Fake quá trời fake!

Ba giai đoạn của quy trình tấn công

Quá trình tấn công được các chuyên gia phân tích diễn ra theo ba giai đoạn cực kỳ phức tạp để qua mặt các lớp bảo mật.

Giai đoạn 1: Kích hoạt LNK và vượt qua kiểm soát cơ bản. Sau khi người dùng mở file LNK, tập tin này sẽ kích hoạt một lệnh đặc biệt thông qua công cụ ftp.exe có sẵn trong Windows. Đây là một kỹ thuật cũ kỹ, ít phổ biến, giúp mã độc có thể vượt qua các lớp kiểm soát bảo mật cơ bản. Old but gold đúng nghĩa luôn!

Giai đoạn 2: Trích xuất và che giấu. Hệ thống ban đầu vẫn bị lừa rằng đây là file PDF thông thường. Nhưng phân tích kỹ hơn thì phát hiện một đoạn mã độc đã được chèn ẩn ngay trước phần mở đầu của file PDF. Mã độc này lập tức hoạt động bằng cách đổi tên công cụ certutil.exe có sẵn trong Windows để tránh bị phát hiện, đồng thời trích xuất data chứa gói file độc hại cuối cùng. Sau đó, dòng lệnh tiếp tục đổi tên file thành "CV-Nguyen-Van-A.pdf" để tạo vỏ bọc đáng tin cậy. Tiếp theo, nó trích xuất và giải mã file có tên "MsCtfMonitor.dll", rồi đặt vào thư mục C:\ProgramData. Nhiều bước vừa mờ ám!

Giai đoạn 3: Chiếm quyền điều khiển và đánh cắp dữ liệu. Kẻ tấn công sao chép file ctfmon.exe từ System32 vào cùng thư mục. Bằng cách này, hacker khai thác kỹ thuật chiếm quyền điều khiển thứ tự DLL (DLL sideloading), buộc hệ thống chạy file độc hại thay vì chương trình thông thường. Cuối cùng, mã độc LOTUSHARVEST được kích hoạt để thực hiện việc đánh cắp thông tin. Game over!

Các dữ liệu bị đánh cắp bao gồm thông tin đăng nhập được lưu trữ trên các trình duyệt Chrome và Edge, cùng với 20 URL gần nhất người dùng truy cập, kể cả siêu dữ liệu liên quan. Tất cả data này được mã độc truyền đi qua API WinINet của Windows, chuyển về cơ sở hạ tầng của hacker. Phần mềm còn tinh vi thêm tên máy tính và tên người dùng vào data để tạo hồ sơ nhận dạng trên máy chủ. Chuyên nghiệp hết nước chấm!

b258454802f4adad3bdd.jpg


Các biện pháp phòng chống tấn công DLL Sideloading

Việc phòng chống cần được tiếp cận theo hướng đa lớp, kết hợp giữa kỹ thuật, quản lý hệ thống và nâng cao nhận thức người dùng nhé các bạn! ️

Kiểm soát Ứng dụng (Application Control) và áp dụng Danh sách Trắng (Whitelisting) là biện pháp hiệu quả nhất, giúp chặn mã độc bằng cách chỉ cho phép các ứng dụng và tệp tin từ nguồn đáng tin cậy được thực thi, đồng thời hạn chế quyền thực thi các tệp từ các thư mục rủi ro như Downloads hoặc Temp.

Song song với đó, việc thực thi Nguyên tắc Đặc quyền tối thiểu (Principle of Least Privilege) giúp giới hạn khả năng mã độc lây lan và thực hiện các lệnh quản trị hệ thống. Tổ chức cần triển khai các giải pháp bảo mật Endpoint Detection and Response (EDR) để liên tục giám sát hành vi, phát hiện kịp thời các hoạt động bất thường như tải DLL từ vị trí không chuẩn hoặc các nỗ lực đổi tên tệp hệ thống để che giấu.

Cuối cùng nhưng quan trọng không kém, không thể thiếu vai trò của Đào tạo Nhận thức Bảo mật nhằm trang bị cho nhân viên khả năng nhận diện và tránh mở các email lừa đảo (phishing), đặc biệt là các tệp đính kèm rủi ro như .lnk, .zip hoặc các tài liệu yêu cầu bật Macro, vì đây là bước khởi đầu cho hầu hết các chiến dịch tấn công như "Operation Hanoi Thief".

Nguồn: genk.vn
 
Back
Top