1 điểm bởi GN⁺ 2023-10-02 | 1 bình luận | Chia sẻ qua WhatsApp
  • Nhân viên của một công ty hàng không vũ trụ tại Tây Ban Nha đã nhận được liên hệ trên LinkedIn từ Lazarus giả danh nhà tuyển dụng của Meta, và việc xâm nhập ban đầu xảy ra khi họ chạy các tệp trông như bài kiểm tra tuyển dụng trên thiết bị công ty
  • Bài tập độc hại được chuyển dưới dạng Quiz1.exeQuiz2.exe; sau khi in ra “Hello, World!” và dãy Fibonacci, chúng kích hoạt cài thêm payload bổ sung bên trong ảnh ISO
  • Sau xâm nhập, thông qua DLL side-loading, NickelLoader, miniBlindingCan và RAT mới LightlessCan đã được triển khai; ESET quy trách nhiệm với độ tin cậy cao cho hoạt động Lazarus liên quan đến Operation DreamJob
  • LightlessCan có vẻ là phiên bản kế nhiệm của BlindingCan, mô phỏng ngay bên trong RAT các lệnh Windows như ipconfig, net, ping, systeminfo, sc để giảm dấu vết thực thi trên console
  • Mục tiêu tấn công là gián điệp mạng, và việc nhúng sẵn các lệnh cùng guardrail thực thi khiến mã chỉ giải mã được trên đúng thiết bị nạn nhân đã làm cho việc phát hiện thời gian thực và phân tích pháp y hậu sự cố trở nên khó khăn hơn

Xâm nhập ban đầu bắt đầu từ mồi nhử tuyển dụng trên LinkedIn

  • Lazarus đã tiếp cận nhiều nhân viên của một công ty hàng không vũ trụ tại Tây Ban Nha qua LinkedIn Messaging
    • Kẻ tấn công giả làm nhà tuyển dụng của Meta, công ty mẹ của Facebook, Instagram và WhatsApp
    • Chúng dùng yêu cầu chứng minh kỹ năng lập trình C++ như một phần của quy trình tuyển dụng
  • Nạn nhân tải xuống Quiz1.isoQuiz2.iso từ kho lưu trữ đám mây bên thứ ba, rồi chạy các tệp thực thi bên trong trên thiết bị công ty
    • Quiz1.exe: giả làm bài tập đơn giản in ra “Hello, World!”
    • Quiz2.exe: giả làm bài tập in ra dãy Fibonacci đến phần tử lớn nhất nhỏ hơn giá trị đầu vào
    • Sau khi xử lý đầu vào và đầu ra như ứng dụng console bình thường, cả hai tệp thực thi đều bắt đầu cài đặt thêm payload độc hại
  • Payload đầu tiên là một downloader HTTP(S) mà ESET đặt tên là NickelLoader
    • NickelLoader có thể triển khai chương trình theo ý kẻ tấn công vào bộ nhớ của máy tính nạn nhân

Cơ sở quy trách nhiệm cho Lazarus và Operation DreamJob

  • ESET quy trách nhiệm với độ tin cậy cao rằng cuộc tấn công ở Tây Ban Nha này là do Lazarus, cụ thể là hoạt động liên quan đến Operation DreamJob
  • Mã độc, hạ tầng và mục tiêu trùng lặp với các chiến dịch Lazarus trước đây
    • Cách tiếp cận qua LinkedIn rồi dụ chạy tệp độc hại ngụy trang thành bài kiểm tra tuyển dụng là chiến thuật Lazarus đã dùng từ sau Operation DreamJob
    • Biến thể mới của loader trung gian và backdoor họ BlindingCan từng được xác nhận trong vụ việc tại Hà Lan năm 2022 đã được quan sát thấy
    • Bộ công cụ sử dụng mã hóa AES-128RC6 với khóa 256 bit, đây cũng là cách từng xuất hiện trong chiến dịch mang chủ đề Amazon
  • Thay vì trực tiếp dựng máy chủ C&C giai đoạn 1, kẻ tấn công xâm nhập và sử dụng các website hiện có có bảo mật yếu hoặc bị bỏ bê bảo trì
  • Việc đánh cắp bí quyết của công ty hàng không vũ trụ phù hợp với mục tiêu dài hạn của Lazarus
    • Các báo cáo của Liên Hợp Quốc đề cập việc các nhóm APT có liên hệ với Triều Tiên tấn công doanh nghiệp hàng không vũ trụ để tiếp cận công nghệ nhạy cảm và kiến thức hàng không vũ trụ

Bộ công cụ sau xâm nhập

  • Sau khi NickelLoader chạy, kẻ tấn công triển khai hai loại RAT vào hệ thống nạn nhân
    • miniBlindingCan: biến thể rút gọn chức năng của backdoor BlindingCan vốn đã được biết đến là công cụ của Lazarus
    • LightlessCan: RAT mới chưa từng được tài liệu hóa công khai
  • Chuỗi thực thi gồm nhiều giai đoạn với độ phức tạp khác nhau; dropper và loader được đặt trước khi RAT cuối cùng chạy
    • Dropper chứa payload nhúng sẵn và có thể nạp chạy trực tiếp từ bộ nhớ ngay cả khi không ghi ra hệ thống tệp
    • Loader nạp payload từ hệ thống tệp mà không có mảng mã hóa nhúng sẵn
  • Phần lớn các tệp chính dùng cấu trúc DLL side-loading, trong đó tệp thực thi hợp pháp nạp DLL độc hại
    • PresentationHost.exe + mscoree.dll: dựa trên NppyPluginDll bị trojan hóa, dùng để phát tán NickelLoader
    • colorcpl.exe + colorui.dll: dựa trên LibreSSL 2.6.5, dùng để phát tán miniBlindingCan
    • fixmapi.exe + mapistub.dll: dựa trên Lua plugin 1.4.0.0 cho Notepad++, dùng để phát tán LightlessCan
    • tabcal.exe + HID.dll: dựa trên MZC8051 3.2 cho Notepad++, dùng để phát tán LightlessCan

Đặc điểm chính của LightlessCan

  • LightlessCan có vẻ là hậu duệ của BlindingCan, RAT HTTP(S) của Lazarus, và số phiên bản nội bộ của bản hiện tại là 1.0
  • Nó được cấu hình để hỗ trợ tối đa 68 lệnh, trong đó ở phiên bản hiện tại 43 lệnh đã có chức năng được triển khai
    • Các lệnh còn lại tồn tại dưới dạng placeholder nhưng không có chức năng thực tế
    • Thứ tự các lệnh dùng chung được giữ lại khá nhiều, cho thấy nó có thể dựa trên mã nguồn của BlindingCan
  • Thay đổi lớn nhất là mô phỏng chức năng của nhiều lệnh gốc của Windows ngay bên trong RAT
    • Ví dụ các lệnh đã được triển khai gồm ipconfig, net, netsh advfirewall, netstat, ping, reg, sc, tasklist, wmic process call create, nslookup, schtasks, systeminfo, arp, mkdir và các lệnh khác
    • Trong các cuộc tấn công Lazarus trước đây, các lệnh này từng được kẻ tấn công chạy nhiều lần trên console sau khi đã giành được chỗ đứng trong hệ thống
    • Cách làm lần này xử lý ngay trong RAT mà không phải chạy lộ liễu các tiện ích console gốc, khiến việc phát hiện bởi công cụ giám sát thời gian thực như EDR và công cụ pháp y số hậu sự cố trở nên khó hơn
  • ESET nghiêng về khả năng nhà phát triển LightlessCan đã reverse engineer các binary mã nguồn đóng để mô phỏng các tiện ích cốt lõi của Windows
    • Dù dự án Wine cũng có triển khai nhiều chương trình, một số chức năng mà LightlessCan mô phỏng lại khác với hoặc không tồn tại trong triển khai của Wine

Chuỗi xâm nhập của NickelLoader

  • NickelLoader là downloader HTTP(S) chạy trên hệ thống đã bị lây nhiễm và được dùng để chuyển các payload tiếp theo của Lazarus
  • Khi nạn nhân tự chạy tệp thực thi bài quiz, PresentationHost.exe được chạy tự động và mscoree.dll độc hại trong cùng đường dẫn C:\ProgramShared\ được side-load
    • mscoree.dll là tệp trojan hóa từ NppyPluginDll.dll của dự án General Python Plugins DLL for Notepad++ đã ngừng hoạt động từ năm 2011
    • Nó chứa export của mscoree.dll hợp pháp và export của NppyPluginDll.dll gốc, với mã độc nằm trong export CorExitProcess
  • Việc giải mã mảng mã hóa nhúng cần ba từ khóa dài 16 ký tự
    • Tên tiến trình cha PresentationHost
    • Tham số nội bộ hardcode trong binary 9zCnQP6o78753qg8
    • Tham số bên ngoài được truyền qua dòng lệnh ‑embeddingObject
    • Ba từ khóa được XOR theo từng byte để tạo khóa giải mã AES-128
  • NickelLoader nhận diện bốn lệnh dài 5 ký tự
    • abcde: yêu cầu lệnh tiếp theo ngay lập tức mà không có độ trễ sleep dài thông thường
    • avdrq: nạp DLL từ buffer nhận được và thực thi export hardcode info
    • gabnc: nạp DLL từ buffer nhận được
    • dcrqv: tự kết thúc
  • ESET đặt tên payload này là NickelLoader vì cấu trúc lệnh 5 ký tự gợi đến “nickel”, cách gọi đồng xu 5 cent của Mỹ

Chuỗi thực thi của miniBlindingCan

  • Một trong các payload mà NickelLoader tải về và chạy là miniBlindingCan
    • Đây là phiên bản đơn giản hóa của RAT BlindingCan, lần đầu được Mandiant báo cáo vào tháng 9/2022 dưới tên AIRDRY.V2
  • Việc nạp dùng colorcpl.exe hợp pháp chạy từ C:\ProgramData\Adobe\ cùng với colorui.dll độc hại
    • colorui.dll là DLL độc hại 64 bit, được làm rối bằng VMProtect
    • Nó chứa hàng nghìn export, và LaunchColorCpl xử lý việc chạy giai đoạn tiếp theo
  • Dropper dùng các tính năng né tránh phân tích ngay từ đầu quá trình chạy
    • Nó thực hiện anti-debugging bằng cách kiểm tra giá trị BeingDebugged trong cấu trúc PEB
    • Nó dùng kỹ thuật anti-sandbox để tránh bị phát hiện trong môi trường sandbox
    • Nó kiểm tra rõ ràng xem tiến trình cha có phải là colorcpl.exe hay không, nếu không thì thoát ngay
  • Việc giải mã payload cuối cùng dùng một chuỗi dài làm khóa XOR, được tạo bằng cách nối tên tiến trình cha, tên tệp dropper và tham số dòng lệnh bên ngoài
    • Ví dụ chuỗi kết quả là COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
  • miniBlindingCan có logic xử lý lệnh tương tự BlindingCan nhưng chức năng bị cắt giảm đáng kể
    • Nó hỗ trợ gửi thông tin hệ thống, cập nhật khoảng thời gian liên lạc, gửi và cập nhật cấu hình, tải xuống và giải mã tệp, thực thi shellcode được chuyển đến
    • Cấu hình sau giải mã có kích thước 9.392 byte và chứa 5 URL, mỗi URL tối đa 260 wide character

Chuỗi thực thi đơn giản của LightlessCan

  • Chuỗi đơn giản của LightlessCan dùng fixmapi.exe hợp pháp chạy từ C:\ProgramData\Oracle\Java\mapistub.dll độc hại
  • mapistub.dll là DLL trojan hóa từ Lua plugin 1.4 cho Notepad++
    • Các export của mapi32.dll hợp pháp trên Windows đã được sao chép vào
    • Export FixMAPI đảm nhiệm giải mã và nạp giai đoạn tiếp theo
    • Các export khác được lấp đầy bằng mã hợp pháp từ dự án mẫu MineSweeper công khai
  • Dropper này thiết lập persistence thông qua scheduled task
    • ESET cho biết còn thiếu chi tiết về tác vụ này, nhưng tiến trình cha được thấy là %WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
  • Việc giải mã dữ liệu nhúng dùng ba từ khóa
    • Tên tiến trình cha fixmapi.exe
    • Tham số nội bộ IP7pdINfE9uMz63n
    • Tham số bên ngoài trên dòng lệnh AudioEndpointBuilder
    • Các từ khóa được XOR theo từng byte, kết quả là khóa AES 128 bit

Chuỗi thực thi phức tạp của LightlessCan và guardrail thực thi

  • Chuỗi LightlessCan phức tạp hơn gồm ứng dụng hợp pháp, dropper ban đầu, dropper đầy đủ, dropper trung gian, tệp cấu hình, tệp thông tin hệ thống, loader trung gian và RAT LightlessCan cuối cùng
  • Dropper ban đầu là HID.dll độc hại được tabcal.exe hợp pháp side-load từ C:\ProgramData\Adobe\ARM\
    • HID.dll là tệp trojan hóa từ MZC8051.dll của dự án 8051 C compiler plugin cho Notepad++
    • Export HidD_GetHidGuid đảm nhiệm việc thả giai đoạn tiếp theo
  • Giai đoạn giải mã đầu tiên cần ba từ khóa
    • Tên tiến trình cha tabcal.exe
    • Tham số nội bộ 9zCnQP6o78753qg8
    • Nội dung tệp %WINDOWS%\system32\thumbs.dbLocalServiceNetworkRestricted
    • Ba giá trị được XOR để tạo khóa AES 128 bit
  • Dropper đầy đủ được tạo ra có tài nguyên InternalName là AppResolver.dll và chứa hai mảng dữ liệu mã hóa
    • Nó gồm một mảng nhỏ 126 byte và một mảng lớn 1.807.464 byte
    • Mảng nhỏ được giải mã bằng RC6 dùng khóa 256 bit để cho ra các đường dẫn C:\windows\system32\oci.dllC:\windows\system32\grpedit.dat
    • Kết quả giải mã mảng lớn bao gồm LightlessCan, dropper trung gian và tệp cấu hình mã hóa 14.948 byte được thả xuống %WINDOWS%\System32\wlansvc.cpl
  • Dropper đầy đủ lưu nhiều đặc điểm nhận diện hệ thống bị nhiễm vào %WINDOWS%\System32\4F59FB87DF2F
    • Các giá trị chủ yếu được lấy từ đường dẫn registry Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS
    • Bao gồm SystemBIOSDate, SystemBIOSVersion, SystemManufacturer, SystemProductName và giá trị Identifier dưới bộ điều khiển đĩa
    • Chuỗi nối của các giá trị này là cần thiết để giải mã grpedit.dat đã được mã hóa trên hệ thống tệp
  • Cấu trúc này hoạt động như guardrail thực thi
    • Nó khiến payload chỉ có thể được giải mã trên đúng máy tính nạn nhân mục tiêu, làm cho việc giải mã trên thiết bị khác của nhà nghiên cứu bảo mật trở nên khó khăn hơn

Né tránh phát hiện và tác động đến phân tích

  • LightlessCan có thể giảm đáng kể dấu vết thực thi của các chương trình dòng lệnh Windows thường dùng trong giai đoạn sau tấn công
    • Nó thay thế chức năng lệnh bằng triển khai nội bộ để tránh chạy các tiện ích console gốc
    • Điều này làm giảm các dấu vết có thể quan sát được trong log lịch sử lệnh và trong phát hiện thời gian thực
  • Toàn bộ chuỗi tấn công kết hợp nhiều kỹ thuật né tránh phòng thủ
    • DLL side-loading
    • Làm rối bằng VMProtect
    • Phân giải động Windows API
    • Payload nhúng sẵn
    • Reflective DLL injection
    • Process injection
    • Né debugger và sandbox
    • Công cụ và cấu hình được mã hóa trên hệ thống tệp
  • Giao tiếp C&C cũng được thiết kế để gây khó cho phân tích và phát hiện
    • LightlessCan và miniBlindingCan dùng HTTP/HTTPS để giao tiếp với C&C
    • Lưu lượng C&C được mã hóa bằng AES-128
    • Base64 được dùng để mã hóa biểu diễn dữ liệu truyền tải
    • LightlessCan cũng có chức năng exfiltration dữ liệu, cho phép gửi dữ liệu ra máy chủ C&C

Tóm tắt IoC và MITRE ATT&CK

  • IoC của các tệp ban đầu chính
    • C273B244EA7DFF20B1D6B1C7FD97F343201984B3: %TEMP%\7zOC35416EE\Quiz1.exe, dropper ban đầu ngụy trang thành thử thách “Hello World”
    • 38736CA46D7FC9B9E5C74D192EEC26F951E45752: %TEMP%\7zOCB3CC96D\Quiz2.exe, dropper ban đầu ngụy trang thành thử thách dãy Fibonacci
    • C136DD71F45EAEF3206BF5C03412195227D15F38: C:\ProgramShared\mscoree.dll, dropper NickelLoader
    • E61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS của NickelLoader
  • IoC của các tệp chính liên quan đến LightlessCan
    • 0F33ECE7C32074520FBEA46314D7D5AB9265EC52: %ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper LightlessCan
    • C7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan do mapistub.dll thả xuống
    • E18B9743EC203AB49D3B57FED6DF5A99061F80E0: %ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper ban đầu của chuỗi phức tạp
    • 3007DDA05CA8C7DE85CD169F3773D43B1A009318: %WINDIR%\system32\grpedit.dat, LightlessCan được thả trong chuỗi phức tạp
    • 247C5F59CFFBAF099203F5BA3680F82A95C51E6E: %WINDIR%\system32\oci.dll, dropper trung gian
  • C&C sử dụng các website hợp pháp đã bị xâm nhập
    • bug.restoroad[.]com
    • hurricanepub[.]com
    • turnscor[.]com
    • mantis.quick.net[.]pl
    • www.radiographers[.]org
    • kapata-arkeologi.kemdikbud.go[.]id
    • barsaji.com[.]mx
    • www.keewoom.co[.]kr
    • kerstpakketten.horesca-meppel[.]nl
    • kittimasszazs[.]hu
    • nrfm[.]lk
  • Theo MITRE ATT&CK, chiến dịch này ánh xạ với trinh sát qua mạng xã hội, spearphishing qua liên kết và dịch vụ, người dùng thực thi tệp độc hại, scheduled task, DLL side-loading, guardrail thực thi, làm suy yếu log lịch sử lệnh, C&C qua giao thức web, kênh mã hóa đối xứng và exfiltration qua kênh C2

1 bình luận

 
GN⁺ 2023-10-02
Các ý kiến trên Hacker News
  • Xâm nhập bằng bài tập LeetCode làm ở nhà đúng là khôn khéo
    Tôi phát triển phần mềm Apple, và các dự án Xcode có thể can thiệp khá sâu. Apple có cảnh báo khi mở một dự án đã tải xuống, nhưng nếu nghĩ đó là bài tập làm ở nhà thì gần như sẽ bỏ qua
    Bài tập trực tuyến cũng có thể yêu cầu các quyền truy cập nhạy cảm, và những đối tượng như vậy rất có khả năng có quyền truy cập khá cao vào tài sản cốt lõi của công ty. Tất nhiên không ai dùng tài nguyên công ty để tìm việc, nhưng nếu nói chuyện đó xảy ra khá thường xuyên thì mọi người ở đây đều sẽ phản ứng nhạy cảm

    • Công ty chúng tôi cũng giao bài tập làm ở nhà cho ứng viên, rồi trong buổi phỏng vấn cùng xem mã và yêu cầu một thay đổi nhỏ để đánh giá khả năng giao tiếp và kỹ năng kỹ thuật
      Có một ứng viên thậm chí không khởi chạy được REPL cho chính dự án của mình, loay hoay một lúc rồi lẩm bẩm: “Lẽ ra nên dùng máy tính công ty”. Việc ngay cả thao tác chạy cơ bản nhất cũng không làm được trên máy cá nhân nghĩa là người đó đã làm bài trên máy tính công ty
    • Ở công việc IT đầu tiên, tôi từng thấy thông báo trả về của email gửi đến địa chỉ tuyển dụng của một hãng dược lớn trong khu vực
      Cũng phải tính đến việc vào năm 1996, địa chỉ email cá nhân chưa phổ biến như bây giờ, nhưng đó vẫn là một lỗi sơ đẳng. Từ rất lâu tôi đã giữ nguyên tắc không làm việc cá nhân trên máy tính công ty, nhưng đó không phải thái độ phổ biến
    • Bỏ qua phần đạo đức còn nhập nhằng, tôi từng được dành toàn bộ ngày làm việc để tìm công việc mới như một phần của thỏa thuận thôi việc, và ban lãnh đạo cũng ủng hộ rộng rãi
    • Gần đây Apple đã thêm shell script được sandbox, có vẻ là một phần trong nỗ lực khiến các bản build được cô lập hơn
      Có thể không phải giải pháp hoàn hảo, nhưng sẽ tốt nếu có thể mở dự án ở chế độ mà mọi bước build đều chạy trong sandbox. Nếu thất bại thì chỉ cần xem nó đã cố làm gì
    • Khi chấm bài tập làm ở nhà, việc đầu tiên tôi làm là mở tệp dự án Xcode bằng vim để kiểm tra nội dung đáng ngờ
      Thành thật mà nói, tôi không nghĩ phần lớn đồng nghiệp của mình làm thẩm định ở mức như vậy
  • Mỗi khi thấy người ta dùng thiết bị của công ty hiện tại để làm bài tập làm ở nhà, đọc email từ headhunter, gọi điện phỏng vấn với công ty khác, tôi đều ngạc nhiên
    Nhiều người nói họ làm vậy nhưng tôi không hiểu nổi. Hậu quả tiềm tàng quá nhiều. Một quản lý quá nhiệt tình từng dùng quan hệ cá nhân để thuyết phục nhà tuyển dụng tương lai không nhận tôi, chỉ vì ông ta phát hiện ra chuyện đó
    Dù là phi đạo đức hay bất hợp pháp, những chuyện như vậy vẫn thật sự xảy ra, kể cả ở các công ty công nghệ lớn. Nghĩ đến việc tự nguyện chia sẻ chi tiết quá trình tìm việc với chủ lao động nghe thật kỳ lạ. Tôi nghĩ công việc và đời tư nên tách biệt như tách biệt nhà thờ và nhà nước

    • Tôi khá khó chịu khi nhiều đồng nghiệp hoàn toàn không có máy tính cá nhân và dùng laptop công ty cho mọi việc
      Họ là lập trình viên phần mềm và hoàn toàn đủ khả năng mua laptop. Mức độ trộn lẫn tối đa của tôi là dùng chiếc laptop công ty nhỏ, nhẹ, có Bluetooth để xem vài video YouTube vô hại khi rửa bát. Trước đây thỉnh thoảng tôi cũng dùng để in ở văn phòng
    • Việc tiếp tục dùng thiết bị hằng ngày cho một việc mới gần như không có ma sát, nên tôi không hề ngạc nhiên
      Tôi hoàn toàn đồng ý rằng rủi ro lớn và không nên làm vậy, nhưng nếu người ta không suy nghĩ kỹ hoặc không liên tục cảnh giác thì chuyện đó hoàn toàn có thể xảy ra
    • Ít nhất để tự bảo vệ, nếu cần thì cứ phỏng vấn bằng điện thoại hoặc tablet
      Tôi không hiểu vì sao phải thêm rủi ro không cần thiết. Có khi họ lại thích cảm giác hồi hộp đó
  • Có phải nạn nhân được gửi tệp .exe với lý do phải tái tạo chức năng bằng C++ không? Ngay khi nhận tệp .exe từ ai đó, đó nên là dấu hiệu rất mạnh rằng đây là một cuộc tấn công, hoặc ít nhất người gửi kém năng lực kỹ thuật đến mức khó tin
    Nhưng có lẽ tôi nghĩ vậy vì đã trải qua thời Windows 95. Có những bài học dường như thế hệ nào cũng phải học lại

    • Chỉ cần một lời mời tuyển dụng hấp dẫn, trong một công ty đầy người chỉ cần thành công một lần là đủ
      Không thể biết có bao nhiêu người đã bị yêu cầu làm bài kiểm tra kỳ lạ rồi nói “vậy thì tôi không làm”. Ngày nay chạy ứng dụng trong sandbox khá dễ mà không làm thì thật dại dột. Sandboxie miễn phí và không phải lúc nào cũng bảo đảm hoạt động, nhưng có thể đã thành công, hoặc ít nhất nhiều khả năng khiến hành vi lạ trở nên dễ thấy. Windows Pro cũng từng có tùy chọn trong menu chuột phải để chạy tệp thực thi trong sandbox trong một thời gian
      Khi nhìn tiêu đề, ban đầu tôi tưởng là lây nhiễm qua IDE. Các câu hỏi kiểu “Bạn có tin tưởng tác giả của dự án này không” tồn tại là có lý do, và với VS Code còn có thể chạy mã trước lời nhắc bằng thủ thuật cấu hình Git
      Tôi sẽ cẩn thận khi chạy chương trình, nhưng nếu nhà tuyển dụng gửi bài coding dưới dạng một dự án chưa hoàn thiện trong kho Git, tôi rất có thể bấm nút “cho phép chạy mã”. Đặc biệt nếu trong phỏng vấn từ xa họ xem mã theo thời gian thực và nói muốn “xem cách tiếp cận vấn đề” thì càng hợp lý. Cuộc tấn công hiện tại rất cơ bản, nhưng không khó để khiến việc phát hiện lây nhiễm ban đầu kịp thời trở nên khó khăn
    • Ban đầu tôi tưởng đây là một cuộc tấn công tinh vi hơn thực tế
      Việc khiến người ta chạy tệp thực thi đã tải xuống hoặc đính kèm là đơn giản nhưng dường như vẫn hiệu quả. Cách độc ác và hiệu quả hơn là trỏ đến một repo GitHub có dự án “bài tập”, rồi khiến nạn nhân tham chiếu đến một gói bị xâm phạm sẽ làm việc kẻ tấn công muốn khi họ kiểm thử lời giải của mình
    • Khi biết họ định làm gì, tôi còn nghĩ thà họ cố lừa tôi thì hơn
      Tôi biết họ không phải script kiddie tầm thường, nhưng tò mò không biết họ sẽ phản ứng thế nào nếu bị phản công. Nếu họ đưa .exe và bảo chạy, tôi sẽ không chạy mà mở bằng trình biên tập hex để kiểm tra. Nếu một tệp tự nhận là “hello world” hay trình tạo dãy Fibonacci mà lớn hơn dự kiến rất nhiều, hoặc chứa dữ liệu trông như đã mã hóa hay có nỗ lực làm rối mã, tôi sẽ không chạy
    • Trước đây tôi từng đề xuất phân phối binary như một phần của bài tập hộp đen
      Nếu có thể khóa mã nguồn và thay đổi chi tiết cho từng ứng viên, các lời giải đăng trên mạng sẽ không giúp được gì
    • Có lẽ không phải .exe mà là tệp cài đặt .msi hoặc tệp zip
  • Khi làm tư vấn cho các chương trình của chính phủ, tôi cố ý không đăng CV lên Internet.
    Tôi không có quyền truy cập nào đáng để gián điệp nhắm tới, nhưng nếu chỉ nhìn vài từ khóa thì có thể trông như thể có. Kiểu như các nhà tuyển dụng spam tất cả những ai lọt vào tìm kiếm từ khóa trên LinkedIn vậy.
    Tôi biết rằng bất kỳ sự cố bảo mật nào cũng phải được báo cáo, và nghĩ rằng hợp đồng lẫn thu nhập có thể bị gián đoạn trong lúc một bộ máy quan liêu thận trọng xử lý sự cố. Vì vậy tôi đã gỡ CV trực tuyến xuống, và cũng thực hiện các biện pháp để kẻ trộm vặt ngẫu nhiên không vô tình lấy mất laptop công việc.
    Giờ tôi đã rời công việc đó, nên cũng như mọi người, tôi đang tận hưởng spam tuyển dụng kiểu Junior Python Leetcode Hazing Engineer trên LinkedIn.

    • Không hiểu sao lại bị downvote.
      Trong một số vị trí hoặc ngành nghề nhất định, không công khai tình trạng làm việc có thể là một biện pháp bảo mật bình thường để ngăn tấn công có chủ đích. Nếu so với thế giới thực thì các điệp viên CIA hẳn sẽ không đi phát danh thiếp có đóng dấu CIA ở nước ngoài.
    • Nghe có vẻ phản ứng thái quá.
      Tôi cũng tương tự, không muốn một số người biết mình làm ở đâu, nhưng tôi nghĩ vẫn ổn nếu để CV cũ trực tuyến miễn là không nhắc đến công ty hiện tại. Tôi cũng đã nhờ trưởng bộ phận HR đừng bao giờ đưa tên tôi lên trang “đội ngũ chúng tôi” công khai.
      Tác dụng phụ là lần nào tham gia khóa đào tạo bảo mật bắt buộc của công ty, nơi họ chỉ cách đối phó tấn công có chủ đích và đưa ví dụ email phishing, tôi cũng bật cười. Tính đến nay, ngoài bài kiểm tra của công ty pentest ra thì tôi chưa nhận được một email spear phishing nào.
  • Không hiểu thằng ngốc nào lại làm việc cá nhân trên thiết bị công ty.
    Tôi không nói về người nghèo, mà nói về những người có đủ tiền mua thiết bị cá nhân của riêng mình.

    • Tôi luôn làm việc cá nhân trên laptop công ty.
      Máy tính cá nhân của tôi là một kiểu máy sưởi có thể chạy được cả trò chơi điện tử, nên tôi không dùng nó làm mặc định. Tôi có khả năng mua thiết bị thứ ba, nhưng số tiền đó có thể dùng vào việc tốt hơn.
      Tất nhiên tôi cố tuân thủ quy định bảo mật của công ty. Tôi tin công ty. Tôi không muốn làm việc cho một công ty mà mình không thể giao cookie trình duyệt của mình. Ở khu vực pháp lý nơi tôi sống, luật cũng đứng về phía tôi. Công ty không thể sa thải tôi chỉ vì tôi làm điều họ không thích trên laptop công ty; họ cần một lý do rất chính đáng.
    • Bạn cùng phòng của tôi không muốn bỏ tiền mua laptop cá nhân nên đã dùng laptop công việc như laptop cá nhân suốt 2 năm.
      Khi còn là thực tập sinh đại học và nghèo hơn nhiều, tôi cũng từng làm y như vậy.
    • Tôi có làm việc cá nhân trên phần cứng công ty, nhưng không làm những thứ thật sự riêng tư.
      Không đăng nhập, chỉ vui vẻ xem phim bằng laptop công việc thôi.
    • Chắc là đúng cái thằng ngốc chạy Quiz1.exe do người lạ trên Internet gửi.
    • Cũng có thể là vì cần thiết.
      Trong trường hợp này nạn nhân làm việc tại một công ty hàng không vũ trụ. Tôi biết một số người trong ngành đó, và tất cả đều làm việc với thời gian dài đến phi lý. Hơn nữa đây là công ty Tây Ban Nha, nên có thể việc làm hơn 10 tiếng mỗi ngày được xem là hiển nhiên.
  • Hơi lạc đề, nhưng tôi thắc mắc nếu người Triều Tiên gần như không được truy cập Internet cho đến khi trở thành nhân viên chính phủ, thì làm sao Lazarus/HIDDEN COBRA có thể trở thành nhóm tấn công do nhà nước hậu thuẫn tinh vi đến vậy.
    Nếu không được tiếp cận nghiên cứu bảo mật hiện đại, dự án mã nguồn mở, tài liệu lập trình và malware đang được phát tán thực tế, liệu có khó để nuôi dưỡng một thế hệ hacker xuất sắc không? Có lẽ họ bắt những người vượt tường lửa rồi đề nghị cho họ một công việc trong đơn vị chăng.

    • Làm sao biết họ không thể có được những thứ đó?
      Và tôi cũng tò mò bạn nghĩ hacker được đào tạo thế nào. Không phải dạy họ làm ứng dụng todo bằng bản build nightly của React là xong. Có lẽ họ thuộc Ethernet và TCP/IP stack còn hơn cả những người tạo ra chúng, thậm chí có thể đọc ngược lại, và chỉ vậy thôi cũng đủ để hack rất nhiều thứ.
    • Hình như tôi nghe trong một bài thuyết trình của cơ quan an ninh mạng Hà Lan rằng họ đào tạo hacker trong nước rồi gửi sang Trung Quốc, và tất nhiên là dưới giám sát chặt chẽ, để hoạt động tại quán Internet.
    • Có thể có một chương trình giáo dục năng khiếu trao toàn bộ quyền truy cập cho những đứa trẻ 7 tuổi có tài năng kỹ thuật và nuôi chúng thành hacker.
    • Nghe nói họ chọn những nhân tài hàng đầu từ rất sớm ở trường và đào tạo cũng rất khắc nghiệt.
      Ở một đất nước thiếu thốn nhiều thứ như lương thực, điện, v.v., đó là một nghề rất được ngưỡng mộ. Nếu muốn biết thêm thì có thể nghe podcast Lazarus Heist.
    • Có lẽ đúng hơn nên xem họ là hoạt động từ Trung Quốc.
  • Ở khu vực của tôi, trong 300 công ty cung ứng nhân lực chỉ có 23 công ty thực sự được cấp phép hoạt động hợp pháp như một dịch vụ, nên tôi không ngạc nhiên.
    Việc xác minh đâu là giả, đâu là thật là sợi dây mà đa số công ty và ứng viên không thật sự muốn kéo.
    Cũng có lừa đảo tuyển dụng giả. Cách làm là đưa ra gói đãi ngộ hấp dẫn để lôi kéo nhân viên rời đi, rồi đối thủ khai thác dữ liệu và cho họ ra đi trước khi hết thời gian đánh giá, thường trong vòng 6–10 tháng. Nhiều tác nhân độc hại cũng đang phát tán PDF nhiễm mã độc cùng những lời hứa phóng đại.
    Cần cẩn trọng, và 86Box hỗ trợ image nền chỉ đọc và session như Bochs/kvm: https://github.com/86Box/86Box/releases
    Nó cũng chạy trên laptop Apple M1 nhưng chậm.

  • Những chuyện xấu như thế này thực sự xảy ra.
    Năm 2019, laptop của tôi bị hack qua Wi‑Fi miễn phí do trụ sở chính cung cấp, khiến tôi phải thay toàn bộ khóa SSH.

    • Tôi tò mò “bị hack qua Wi‑Fi miễn phí của trụ sở chính” cụ thể nghĩa là gì.
  • “Hai file thực thi độc hại… file đầu tiên là dự án Hello World… file thứ hai in dãy Fibonacci đến phần tử lớn nhất nhỏ hơn giá trị đầu vào” — lẽ ra đây phải là dấu hiệu đầu tiên cho thấy có gì đó sai.
    Nếu là Meta thì họ đã bắt đầu bằng LeetCode medium hoặc hard rồi.

  • Bảo mật của trang web này thật tuyệt vời.
    Họ chặn không cho dùng phím mũi tên để cuộn nội dung trang. Chắc chắn là vì một vector tấn công chưa được biết đến qua bàn phím. Xuất sắc.