Kẻ giả mạo nhà tuyển dụng dùng thử thách lập trình độc hại để dụ nhân viên hàng không vũ trụ
(welivesecurity.com)- Nhân viên của một công ty hàng không vũ trụ tại Tây Ban Nha đã nhận được liên hệ trên LinkedIn từ Lazarus giả danh nhà tuyển dụng của Meta, và việc xâm nhập ban đầu xảy ra khi họ chạy các tệp trông như bài kiểm tra tuyển dụng trên thiết bị công ty
- Bài tập độc hại được chuyển dưới dạng
Quiz1.exevàQuiz2.exe; sau khi in ra “Hello, World!” và dãy Fibonacci, chúng kích hoạt cài thêm payload bổ sung bên trong ảnh ISO - Sau xâm nhập, thông qua DLL side-loading, NickelLoader, miniBlindingCan và RAT mới LightlessCan đã được triển khai; ESET quy trách nhiệm với độ tin cậy cao cho hoạt động Lazarus liên quan đến Operation DreamJob
- LightlessCan có vẻ là phiên bản kế nhiệm của BlindingCan, mô phỏng ngay bên trong RAT các lệnh Windows như
ipconfig,net,ping,systeminfo,scđể giảm dấu vết thực thi trên console - Mục tiêu tấn công là gián điệp mạng, và việc nhúng sẵn các lệnh cùng guardrail thực thi khiến mã chỉ giải mã được trên đúng thiết bị nạn nhân đã làm cho việc phát hiện thời gian thực và phân tích pháp y hậu sự cố trở nên khó khăn hơn
Xâm nhập ban đầu bắt đầu từ mồi nhử tuyển dụng trên LinkedIn
- Lazarus đã tiếp cận nhiều nhân viên của một công ty hàng không vũ trụ tại Tây Ban Nha qua LinkedIn Messaging
- Kẻ tấn công giả làm nhà tuyển dụng của Meta, công ty mẹ của Facebook, Instagram và WhatsApp
- Chúng dùng yêu cầu chứng minh kỹ năng lập trình C++ như một phần của quy trình tuyển dụng
- Nạn nhân tải xuống
Quiz1.isovàQuiz2.isotừ kho lưu trữ đám mây bên thứ ba, rồi chạy các tệp thực thi bên trong trên thiết bị công tyQuiz1.exe: giả làm bài tập đơn giản in ra “Hello, World!”Quiz2.exe: giả làm bài tập in ra dãy Fibonacci đến phần tử lớn nhất nhỏ hơn giá trị đầu vào- Sau khi xử lý đầu vào và đầu ra như ứng dụng console bình thường, cả hai tệp thực thi đều bắt đầu cài đặt thêm payload độc hại
- Payload đầu tiên là một downloader HTTP(S) mà ESET đặt tên là NickelLoader
- NickelLoader có thể triển khai chương trình theo ý kẻ tấn công vào bộ nhớ của máy tính nạn nhân
Cơ sở quy trách nhiệm cho Lazarus và Operation DreamJob
- ESET quy trách nhiệm với độ tin cậy cao rằng cuộc tấn công ở Tây Ban Nha này là do Lazarus, cụ thể là hoạt động liên quan đến Operation DreamJob
- Mã độc, hạ tầng và mục tiêu trùng lặp với các chiến dịch Lazarus trước đây
- Cách tiếp cận qua LinkedIn rồi dụ chạy tệp độc hại ngụy trang thành bài kiểm tra tuyển dụng là chiến thuật Lazarus đã dùng từ sau Operation DreamJob
- Biến thể mới của loader trung gian và backdoor họ BlindingCan từng được xác nhận trong vụ việc tại Hà Lan năm 2022 đã được quan sát thấy
- Bộ công cụ sử dụng mã hóa AES-128 và RC6 với khóa 256 bit, đây cũng là cách từng xuất hiện trong chiến dịch mang chủ đề Amazon
- Thay vì trực tiếp dựng máy chủ C&C giai đoạn 1, kẻ tấn công xâm nhập và sử dụng các website hiện có có bảo mật yếu hoặc bị bỏ bê bảo trì
- Việc đánh cắp bí quyết của công ty hàng không vũ trụ phù hợp với mục tiêu dài hạn của Lazarus
- Các báo cáo của Liên Hợp Quốc đề cập việc các nhóm APT có liên hệ với Triều Tiên tấn công doanh nghiệp hàng không vũ trụ để tiếp cận công nghệ nhạy cảm và kiến thức hàng không vũ trụ
Bộ công cụ sau xâm nhập
- Sau khi NickelLoader chạy, kẻ tấn công triển khai hai loại RAT vào hệ thống nạn nhân
- miniBlindingCan: biến thể rút gọn chức năng của backdoor BlindingCan vốn đã được biết đến là công cụ của Lazarus
- LightlessCan: RAT mới chưa từng được tài liệu hóa công khai
- Chuỗi thực thi gồm nhiều giai đoạn với độ phức tạp khác nhau; dropper và loader được đặt trước khi RAT cuối cùng chạy
- Dropper chứa payload nhúng sẵn và có thể nạp chạy trực tiếp từ bộ nhớ ngay cả khi không ghi ra hệ thống tệp
- Loader nạp payload từ hệ thống tệp mà không có mảng mã hóa nhúng sẵn
- Phần lớn các tệp chính dùng cấu trúc DLL side-loading, trong đó tệp thực thi hợp pháp nạp DLL độc hại
PresentationHost.exe+mscoree.dll: dựa trên NppyPluginDll bị trojan hóa, dùng để phát tán NickelLoadercolorcpl.exe+colorui.dll: dựa trên LibreSSL 2.6.5, dùng để phát tán miniBlindingCanfixmapi.exe+mapistub.dll: dựa trên Lua plugin 1.4.0.0 cho Notepad++, dùng để phát tán LightlessCantabcal.exe+HID.dll: dựa trên MZC8051 3.2 cho Notepad++, dùng để phát tán LightlessCan
Đặc điểm chính của LightlessCan
- LightlessCan có vẻ là hậu duệ của BlindingCan, RAT HTTP(S) của Lazarus, và số phiên bản nội bộ của bản hiện tại là
1.0 - Nó được cấu hình để hỗ trợ tối đa 68 lệnh, trong đó ở phiên bản hiện tại 43 lệnh đã có chức năng được triển khai
- Các lệnh còn lại tồn tại dưới dạng placeholder nhưng không có chức năng thực tế
- Thứ tự các lệnh dùng chung được giữ lại khá nhiều, cho thấy nó có thể dựa trên mã nguồn của BlindingCan
- Thay đổi lớn nhất là mô phỏng chức năng của nhiều lệnh gốc của Windows ngay bên trong RAT
- Ví dụ các lệnh đã được triển khai gồm
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdirvà các lệnh khác - Trong các cuộc tấn công Lazarus trước đây, các lệnh này từng được kẻ tấn công chạy nhiều lần trên console sau khi đã giành được chỗ đứng trong hệ thống
- Cách làm lần này xử lý ngay trong RAT mà không phải chạy lộ liễu các tiện ích console gốc, khiến việc phát hiện bởi công cụ giám sát thời gian thực như EDR và công cụ pháp y số hậu sự cố trở nên khó hơn
- Ví dụ các lệnh đã được triển khai gồm
- ESET nghiêng về khả năng nhà phát triển LightlessCan đã reverse engineer các binary mã nguồn đóng để mô phỏng các tiện ích cốt lõi của Windows
- Dù dự án Wine cũng có triển khai nhiều chương trình, một số chức năng mà LightlessCan mô phỏng lại khác với hoặc không tồn tại trong triển khai của Wine
Chuỗi xâm nhập của NickelLoader
- NickelLoader là downloader HTTP(S) chạy trên hệ thống đã bị lây nhiễm và được dùng để chuyển các payload tiếp theo của Lazarus
- Khi nạn nhân tự chạy tệp thực thi bài quiz,
PresentationHost.exeđược chạy tự động vàmscoree.dllđộc hại trong cùng đường dẫnC:\ProgramShared\được side-loadmscoree.dlllà tệp trojan hóa từNppyPluginDll.dllcủa dự án General Python Plugins DLL for Notepad++ đã ngừng hoạt động từ năm 2011- Nó chứa export của
mscoree.dllhợp pháp và export củaNppyPluginDll.dllgốc, với mã độc nằm trong exportCorExitProcess
- Việc giải mã mảng mã hóa nhúng cần ba từ khóa dài 16 ký tự
- Tên tiến trình cha
PresentationHost - Tham số nội bộ hardcode trong binary
9zCnQP6o78753qg8 - Tham số bên ngoài được truyền qua dòng lệnh
‑embeddingObject - Ba từ khóa được XOR theo từng byte để tạo khóa giải mã AES-128
- Tên tiến trình cha
- NickelLoader nhận diện bốn lệnh dài 5 ký tự
abcde: yêu cầu lệnh tiếp theo ngay lập tức mà không có độ trễ sleep dài thông thườngavdrq: nạp DLL từ buffer nhận được và thực thi export hardcodeinfogabnc: nạp DLL từ buffer nhận đượcdcrqv: tự kết thúc
- ESET đặt tên payload này là NickelLoader vì cấu trúc lệnh 5 ký tự gợi đến “nickel”, cách gọi đồng xu 5 cent của Mỹ
Chuỗi thực thi của miniBlindingCan
- Một trong các payload mà NickelLoader tải về và chạy là miniBlindingCan
- Đây là phiên bản đơn giản hóa của RAT BlindingCan, lần đầu được Mandiant báo cáo vào tháng 9/2022 dưới tên AIRDRY.V2
- Việc nạp dùng
colorcpl.exehợp pháp chạy từC:\ProgramData\Adobe\cùng vớicolorui.dllđộc hạicolorui.dlllà DLL độc hại 64 bit, được làm rối bằng VMProtect- Nó chứa hàng nghìn export, và
LaunchColorCplxử lý việc chạy giai đoạn tiếp theo
- Dropper dùng các tính năng né tránh phân tích ngay từ đầu quá trình chạy
- Nó thực hiện anti-debugging bằng cách kiểm tra giá trị
BeingDebuggedtrong cấu trúc PEB - Nó dùng kỹ thuật anti-sandbox để tránh bị phát hiện trong môi trường sandbox
- Nó kiểm tra rõ ràng xem tiến trình cha có phải là
colorcpl.exehay không, nếu không thì thoát ngay
- Nó thực hiện anti-debugging bằng cách kiểm tra giá trị
- Việc giải mã payload cuối cùng dùng một chuỗi dài làm khóa XOR, được tạo bằng cách nối tên tiến trình cha, tên tệp dropper và tham số dòng lệnh bên ngoài
- Ví dụ chuỗi kết quả là
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7
- Ví dụ chuỗi kết quả là
- miniBlindingCan có logic xử lý lệnh tương tự BlindingCan nhưng chức năng bị cắt giảm đáng kể
- Nó hỗ trợ gửi thông tin hệ thống, cập nhật khoảng thời gian liên lạc, gửi và cập nhật cấu hình, tải xuống và giải mã tệp, thực thi shellcode được chuyển đến
- Cấu hình sau giải mã có kích thước 9.392 byte và chứa 5 URL, mỗi URL tối đa 260 wide character
Chuỗi thực thi đơn giản của LightlessCan
- Chuỗi đơn giản của LightlessCan dùng
fixmapi.exehợp pháp chạy từC:\ProgramData\Oracle\Java\vàmapistub.dllđộc hại mapistub.dlllà DLL trojan hóa từ Lua plugin 1.4 cho Notepad++- Các export của
mapi32.dllhợp pháp trên Windows đã được sao chép vào - Export
FixMAPIđảm nhiệm giải mã và nạp giai đoạn tiếp theo - Các export khác được lấp đầy bằng mã hợp pháp từ dự án mẫu MineSweeper công khai
- Các export của
- Dropper này thiết lập persistence thông qua scheduled task
- ESET cho biết còn thiếu chi tiết về tác vụ này, nhưng tiến trình cha được thấy là
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule
- ESET cho biết còn thiếu chi tiết về tác vụ này, nhưng tiến trình cha được thấy là
- Việc giải mã dữ liệu nhúng dùng ba từ khóa
- Tên tiến trình cha
fixmapi.exe - Tham số nội bộ
IP7pdINfE9uMz63n - Tham số bên ngoài trên dòng lệnh
AudioEndpointBuilder - Các từ khóa được XOR theo từng byte, kết quả là khóa AES 128 bit
- Tên tiến trình cha
Chuỗi thực thi phức tạp của LightlessCan và guardrail thực thi
- Chuỗi LightlessCan phức tạp hơn gồm ứng dụng hợp pháp, dropper ban đầu, dropper đầy đủ, dropper trung gian, tệp cấu hình, tệp thông tin hệ thống, loader trung gian và RAT LightlessCan cuối cùng
- Dropper ban đầu là
HID.dllđộc hại đượctabcal.exehợp pháp side-load từC:\ProgramData\Adobe\ARM\HID.dlllà tệp trojan hóa từMZC8051.dllcủa dự án 8051 C compiler plugin cho Notepad++- Export
HidD_GetHidGuidđảm nhiệm việc thả giai đoạn tiếp theo
- Giai đoạn giải mã đầu tiên cần ba từ khóa
- Tên tiến trình cha
tabcal.exe - Tham số nội bộ
9zCnQP6o78753qg8 - Nội dung tệp
%WINDOWS%\system32\thumbs.dblàLocalServiceNetworkRestricted - Ba giá trị được XOR để tạo khóa AES 128 bit
- Tên tiến trình cha
- Dropper đầy đủ được tạo ra có tài nguyên InternalName là
AppResolver.dllvà chứa hai mảng dữ liệu mã hóa- Nó gồm một mảng nhỏ 126 byte và một mảng lớn 1.807.464 byte
- Mảng nhỏ được giải mã bằng RC6 dùng khóa 256 bit để cho ra các đường dẫn
C:\windows\system32\oci.dllvàC:\windows\system32\grpedit.dat - Kết quả giải mã mảng lớn bao gồm LightlessCan, dropper trung gian và tệp cấu hình mã hóa 14.948 byte được thả xuống
%WINDOWS%\System32\wlansvc.cpl
- Dropper đầy đủ lưu nhiều đặc điểm nhận diện hệ thống bị nhiễm vào
%WINDOWS%\System32\4F59FB87DF2F- Các giá trị chủ yếu được lấy từ đường dẫn registry
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS - Bao gồm
SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductNamevà giá trịIdentifierdưới bộ điều khiển đĩa - Chuỗi nối của các giá trị này là cần thiết để giải mã
grpedit.datđã được mã hóa trên hệ thống tệp
- Các giá trị chủ yếu được lấy từ đường dẫn registry
- Cấu trúc này hoạt động như guardrail thực thi
- Nó khiến payload chỉ có thể được giải mã trên đúng máy tính nạn nhân mục tiêu, làm cho việc giải mã trên thiết bị khác của nhà nghiên cứu bảo mật trở nên khó khăn hơn
Né tránh phát hiện và tác động đến phân tích
- LightlessCan có thể giảm đáng kể dấu vết thực thi của các chương trình dòng lệnh Windows thường dùng trong giai đoạn sau tấn công
- Nó thay thế chức năng lệnh bằng triển khai nội bộ để tránh chạy các tiện ích console gốc
- Điều này làm giảm các dấu vết có thể quan sát được trong log lịch sử lệnh và trong phát hiện thời gian thực
- Toàn bộ chuỗi tấn công kết hợp nhiều kỹ thuật né tránh phòng thủ
- DLL side-loading
- Làm rối bằng VMProtect
- Phân giải động Windows API
- Payload nhúng sẵn
- Reflective DLL injection
- Process injection
- Né debugger và sandbox
- Công cụ và cấu hình được mã hóa trên hệ thống tệp
- Giao tiếp C&C cũng được thiết kế để gây khó cho phân tích và phát hiện
- LightlessCan và miniBlindingCan dùng HTTP/HTTPS để giao tiếp với C&C
- Lưu lượng C&C được mã hóa bằng AES-128
- Base64 được dùng để mã hóa biểu diễn dữ liệu truyền tải
- LightlessCan cũng có chức năng exfiltration dữ liệu, cho phép gửi dữ liệu ra máy chủ C&C
Tóm tắt IoC và MITRE ATT&CK
- IoC của các tệp ban đầu chính
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, dropper ban đầu ngụy trang thành thử thách “Hello World”38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, dropper ban đầu ngụy trang thành thử thách dãy FibonacciC136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, dropper NickelLoaderE61672B23DBD03FE3B97EE469FA0895ED1F9185D: downloader HTTPS của NickelLoader
- IoC của các tệp chính liên quan đến LightlessCan
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, dropper LightlessCanC7C6027ABDCED3093288AB75FAB907C598E0237D: LightlessCan domapistub.dllthả xuốngE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, dropper ban đầu của chuỗi phức tạp3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, LightlessCan được thả trong chuỗi phức tạp247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, dropper trung gian
- C&C sử dụng các website hợp pháp đã bị xâm nhập
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- Theo MITRE ATT&CK, chiến dịch này ánh xạ với trinh sát qua mạng xã hội, spearphishing qua liên kết và dịch vụ, người dùng thực thi tệp độc hại, scheduled task, DLL side-loading, guardrail thực thi, làm suy yếu log lịch sử lệnh, C&C qua giao thức web, kênh mã hóa đối xứng và exfiltration qua kênh C2
1 bình luận
Các ý kiến trên Hacker News
Xâm nhập bằng bài tập LeetCode làm ở nhà đúng là khôn khéo
Tôi phát triển phần mềm Apple, và các dự án Xcode có thể can thiệp khá sâu. Apple có cảnh báo khi mở một dự án đã tải xuống, nhưng nếu nghĩ đó là bài tập làm ở nhà thì gần như sẽ bỏ qua
Bài tập trực tuyến cũng có thể yêu cầu các quyền truy cập nhạy cảm, và những đối tượng như vậy rất có khả năng có quyền truy cập khá cao vào tài sản cốt lõi của công ty. Tất nhiên không ai dùng tài nguyên công ty để tìm việc, nhưng nếu nói chuyện đó xảy ra khá thường xuyên thì mọi người ở đây đều sẽ phản ứng nhạy cảm
Có một ứng viên thậm chí không khởi chạy được REPL cho chính dự án của mình, loay hoay một lúc rồi lẩm bẩm: “Lẽ ra nên dùng máy tính công ty”. Việc ngay cả thao tác chạy cơ bản nhất cũng không làm được trên máy cá nhân nghĩa là người đó đã làm bài trên máy tính công ty
Cũng phải tính đến việc vào năm 1996, địa chỉ email cá nhân chưa phổ biến như bây giờ, nhưng đó vẫn là một lỗi sơ đẳng. Từ rất lâu tôi đã giữ nguyên tắc không làm việc cá nhân trên máy tính công ty, nhưng đó không phải thái độ phổ biến
Có thể không phải giải pháp hoàn hảo, nhưng sẽ tốt nếu có thể mở dự án ở chế độ mà mọi bước build đều chạy trong sandbox. Nếu thất bại thì chỉ cần xem nó đã cố làm gì
Thành thật mà nói, tôi không nghĩ phần lớn đồng nghiệp của mình làm thẩm định ở mức như vậy
Mỗi khi thấy người ta dùng thiết bị của công ty hiện tại để làm bài tập làm ở nhà, đọc email từ headhunter, gọi điện phỏng vấn với công ty khác, tôi đều ngạc nhiên
Nhiều người nói họ làm vậy nhưng tôi không hiểu nổi. Hậu quả tiềm tàng quá nhiều. Một quản lý quá nhiệt tình từng dùng quan hệ cá nhân để thuyết phục nhà tuyển dụng tương lai không nhận tôi, chỉ vì ông ta phát hiện ra chuyện đó
Dù là phi đạo đức hay bất hợp pháp, những chuyện như vậy vẫn thật sự xảy ra, kể cả ở các công ty công nghệ lớn. Nghĩ đến việc tự nguyện chia sẻ chi tiết quá trình tìm việc với chủ lao động nghe thật kỳ lạ. Tôi nghĩ công việc và đời tư nên tách biệt như tách biệt nhà thờ và nhà nước
Họ là lập trình viên phần mềm và hoàn toàn đủ khả năng mua laptop. Mức độ trộn lẫn tối đa của tôi là dùng chiếc laptop công ty nhỏ, nhẹ, có Bluetooth để xem vài video YouTube vô hại khi rửa bát. Trước đây thỉnh thoảng tôi cũng dùng để in ở văn phòng
Tôi hoàn toàn đồng ý rằng rủi ro lớn và không nên làm vậy, nhưng nếu người ta không suy nghĩ kỹ hoặc không liên tục cảnh giác thì chuyện đó hoàn toàn có thể xảy ra
Tôi không hiểu vì sao phải thêm rủi ro không cần thiết. Có khi họ lại thích cảm giác hồi hộp đó
Có phải nạn nhân được gửi tệp .exe với lý do phải tái tạo chức năng bằng C++ không? Ngay khi nhận tệp .exe từ ai đó, đó nên là dấu hiệu rất mạnh rằng đây là một cuộc tấn công, hoặc ít nhất người gửi kém năng lực kỹ thuật đến mức khó tin
Nhưng có lẽ tôi nghĩ vậy vì đã trải qua thời Windows 95. Có những bài học dường như thế hệ nào cũng phải học lại
Không thể biết có bao nhiêu người đã bị yêu cầu làm bài kiểm tra kỳ lạ rồi nói “vậy thì tôi không làm”. Ngày nay chạy ứng dụng trong sandbox khá dễ mà không làm thì thật dại dột. Sandboxie miễn phí và không phải lúc nào cũng bảo đảm hoạt động, nhưng có thể đã thành công, hoặc ít nhất nhiều khả năng khiến hành vi lạ trở nên dễ thấy. Windows Pro cũng từng có tùy chọn trong menu chuột phải để chạy tệp thực thi trong sandbox trong một thời gian
Khi nhìn tiêu đề, ban đầu tôi tưởng là lây nhiễm qua IDE. Các câu hỏi kiểu “Bạn có tin tưởng tác giả của dự án này không” tồn tại là có lý do, và với VS Code còn có thể chạy mã trước lời nhắc bằng thủ thuật cấu hình Git
Tôi sẽ cẩn thận khi chạy chương trình, nhưng nếu nhà tuyển dụng gửi bài coding dưới dạng một dự án chưa hoàn thiện trong kho Git, tôi rất có thể bấm nút “cho phép chạy mã”. Đặc biệt nếu trong phỏng vấn từ xa họ xem mã theo thời gian thực và nói muốn “xem cách tiếp cận vấn đề” thì càng hợp lý. Cuộc tấn công hiện tại rất cơ bản, nhưng không khó để khiến việc phát hiện lây nhiễm ban đầu kịp thời trở nên khó khăn
Việc khiến người ta chạy tệp thực thi đã tải xuống hoặc đính kèm là đơn giản nhưng dường như vẫn hiệu quả. Cách độc ác và hiệu quả hơn là trỏ đến một repo GitHub có dự án “bài tập”, rồi khiến nạn nhân tham chiếu đến một gói bị xâm phạm sẽ làm việc kẻ tấn công muốn khi họ kiểm thử lời giải của mình
Tôi biết họ không phải script kiddie tầm thường, nhưng tò mò không biết họ sẽ phản ứng thế nào nếu bị phản công. Nếu họ đưa .exe và bảo chạy, tôi sẽ không chạy mà mở bằng trình biên tập hex để kiểm tra. Nếu một tệp tự nhận là “hello world” hay trình tạo dãy Fibonacci mà lớn hơn dự kiến rất nhiều, hoặc chứa dữ liệu trông như đã mã hóa hay có nỗ lực làm rối mã, tôi sẽ không chạy
Nếu có thể khóa mã nguồn và thay đổi chi tiết cho từng ứng viên, các lời giải đăng trên mạng sẽ không giúp được gì
Khi làm tư vấn cho các chương trình của chính phủ, tôi cố ý không đăng CV lên Internet.
Tôi không có quyền truy cập nào đáng để gián điệp nhắm tới, nhưng nếu chỉ nhìn vài từ khóa thì có thể trông như thể có. Kiểu như các nhà tuyển dụng spam tất cả những ai lọt vào tìm kiếm từ khóa trên LinkedIn vậy.
Tôi biết rằng bất kỳ sự cố bảo mật nào cũng phải được báo cáo, và nghĩ rằng hợp đồng lẫn thu nhập có thể bị gián đoạn trong lúc một bộ máy quan liêu thận trọng xử lý sự cố. Vì vậy tôi đã gỡ CV trực tuyến xuống, và cũng thực hiện các biện pháp để kẻ trộm vặt ngẫu nhiên không vô tình lấy mất laptop công việc.
Giờ tôi đã rời công việc đó, nên cũng như mọi người, tôi đang tận hưởng spam tuyển dụng kiểu Junior Python Leetcode Hazing Engineer trên LinkedIn.
Trong một số vị trí hoặc ngành nghề nhất định, không công khai tình trạng làm việc có thể là một biện pháp bảo mật bình thường để ngăn tấn công có chủ đích. Nếu so với thế giới thực thì các điệp viên CIA hẳn sẽ không đi phát danh thiếp có đóng dấu CIA ở nước ngoài.
Tôi cũng tương tự, không muốn một số người biết mình làm ở đâu, nhưng tôi nghĩ vẫn ổn nếu để CV cũ trực tuyến miễn là không nhắc đến công ty hiện tại. Tôi cũng đã nhờ trưởng bộ phận HR đừng bao giờ đưa tên tôi lên trang “đội ngũ chúng tôi” công khai.
Tác dụng phụ là lần nào tham gia khóa đào tạo bảo mật bắt buộc của công ty, nơi họ chỉ cách đối phó tấn công có chủ đích và đưa ví dụ email phishing, tôi cũng bật cười. Tính đến nay, ngoài bài kiểm tra của công ty pentest ra thì tôi chưa nhận được một email spear phishing nào.
Không hiểu thằng ngốc nào lại làm việc cá nhân trên thiết bị công ty.
Tôi không nói về người nghèo, mà nói về những người có đủ tiền mua thiết bị cá nhân của riêng mình.
Máy tính cá nhân của tôi là một kiểu máy sưởi có thể chạy được cả trò chơi điện tử, nên tôi không dùng nó làm mặc định. Tôi có khả năng mua thiết bị thứ ba, nhưng số tiền đó có thể dùng vào việc tốt hơn.
Tất nhiên tôi cố tuân thủ quy định bảo mật của công ty. Tôi tin công ty. Tôi không muốn làm việc cho một công ty mà mình không thể giao cookie trình duyệt của mình. Ở khu vực pháp lý nơi tôi sống, luật cũng đứng về phía tôi. Công ty không thể sa thải tôi chỉ vì tôi làm điều họ không thích trên laptop công ty; họ cần một lý do rất chính đáng.
Khi còn là thực tập sinh đại học và nghèo hơn nhiều, tôi cũng từng làm y như vậy.
Không đăng nhập, chỉ vui vẻ xem phim bằng laptop công việc thôi.
Trong trường hợp này nạn nhân làm việc tại một công ty hàng không vũ trụ. Tôi biết một số người trong ngành đó, và tất cả đều làm việc với thời gian dài đến phi lý. Hơn nữa đây là công ty Tây Ban Nha, nên có thể việc làm hơn 10 tiếng mỗi ngày được xem là hiển nhiên.
Hơi lạc đề, nhưng tôi thắc mắc nếu người Triều Tiên gần như không được truy cập Internet cho đến khi trở thành nhân viên chính phủ, thì làm sao Lazarus/HIDDEN COBRA có thể trở thành nhóm tấn công do nhà nước hậu thuẫn tinh vi đến vậy.
Nếu không được tiếp cận nghiên cứu bảo mật hiện đại, dự án mã nguồn mở, tài liệu lập trình và malware đang được phát tán thực tế, liệu có khó để nuôi dưỡng một thế hệ hacker xuất sắc không? Có lẽ họ bắt những người vượt tường lửa rồi đề nghị cho họ một công việc trong đơn vị chăng.
Và tôi cũng tò mò bạn nghĩ hacker được đào tạo thế nào. Không phải dạy họ làm ứng dụng todo bằng bản build nightly của React là xong. Có lẽ họ thuộc Ethernet và TCP/IP stack còn hơn cả những người tạo ra chúng, thậm chí có thể đọc ngược lại, và chỉ vậy thôi cũng đủ để hack rất nhiều thứ.
Ở một đất nước thiếu thốn nhiều thứ như lương thực, điện, v.v., đó là một nghề rất được ngưỡng mộ. Nếu muốn biết thêm thì có thể nghe podcast Lazarus Heist.
Ở khu vực của tôi, trong 300 công ty cung ứng nhân lực chỉ có 23 công ty thực sự được cấp phép hoạt động hợp pháp như một dịch vụ, nên tôi không ngạc nhiên.
Việc xác minh đâu là giả, đâu là thật là sợi dây mà đa số công ty và ứng viên không thật sự muốn kéo.
Cũng có lừa đảo tuyển dụng giả. Cách làm là đưa ra gói đãi ngộ hấp dẫn để lôi kéo nhân viên rời đi, rồi đối thủ khai thác dữ liệu và cho họ ra đi trước khi hết thời gian đánh giá, thường trong vòng 6–10 tháng. Nhiều tác nhân độc hại cũng đang phát tán PDF nhiễm mã độc cùng những lời hứa phóng đại.
Cần cẩn trọng, và 86Box hỗ trợ image nền chỉ đọc và session như Bochs/kvm: https://github.com/86Box/86Box/releases
Nó cũng chạy trên laptop Apple M1 nhưng chậm.
Những chuyện xấu như thế này thực sự xảy ra.
Năm 2019, laptop của tôi bị hack qua Wi‑Fi miễn phí do trụ sở chính cung cấp, khiến tôi phải thay toàn bộ khóa SSH.
“Hai file thực thi độc hại… file đầu tiên là dự án Hello World… file thứ hai in dãy Fibonacci đến phần tử lớn nhất nhỏ hơn giá trị đầu vào” — lẽ ra đây phải là dấu hiệu đầu tiên cho thấy có gì đó sai.
Nếu là Meta thì họ đã bắt đầu bằng LeetCode medium hoặc hard rồi.
Bảo mật của trang web này thật tuyệt vời.
Họ chặn không cho dùng phím mũi tên để cuộn nội dung trang. Chắc chắn là vì một vector tấn công chưa được biết đến qua bàn phím. Xuất sắc.