Nhà tuyển dụng giả mạo dụ nhân viên hàng không vũ trụ bằng thử thách lập trình đã bị trojan hóa

 (welivesecurity.com)
1 điểm bởi GN⁺ 2023-10-02 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các nhà nghiên cứu của ESET đã phát hiện một cuộc tấn công của Lazarus nhắm vào một công ty hàng không vũ trụ tại Tây Ban Nha, triển khai một backdoor ранее chưa từng được biết đến mang tên LightlessCan.
  • Nhóm Lazarus đã giành được quyền truy cập ban đầu thông qua một chiến dịch spear phishing thành công, giả mạo làm nhà tuyển dụng của Meta.
  • Nạn nhân được liên hệ qua tin nhắn LinkedIn và nhận hai bài thử thách lập trình, sau đó tải xuống và chạy chúng trên thiết bị của công ty.
  • Cuộc tấn công này được làm sáng tỏ nhờ sự hợp tác với công ty hàng không vũ trụ bị ảnh hưởng.
  • Kẻ tấn công đã sử dụng nhiều công cụ khác nhau, bao gồm ba loại payload được phân phối thông qua DLL sideloading.
  • Payload đáng chú ý nhất, backdoor LightlessCan, triển khai các kỹ thuật để né tránh việc bị phát hiện bởi phần mềm giám sát bảo mật thời gian thực và phân tích của các chuyên gia an ninh mạng.
  • Nhóm Lazarus, có liên hệ với Triều Tiên và hoạt động từ năm 2009, chịu trách nhiệm cho các vụ việc nổi bật như vụ hack Sony Pictures Entertainment và đợt bùng phát WannaCryptor.
  • Cuộc tấn công tại Tây Ban Nha được quy cho Operation DreamJob của nhóm Lazarus, chiến dịch nhắm đến hoạt động gián điệp mạng nhằm vào các công ty quốc phòng và hàng không vũ trụ.
  • Nhóm Lazarus sử dụng các execution guardrail để đảm bảo payload chỉ có thể được giải mã trên máy của nạn nhân mục tiêu.
  • Payload mới LightlessCan là một công cụ phức tạp, cho thấy mức độ tinh vi cao trong cả thiết kế lẫn vận hành.
  • Bài viết đề cập đến các website hợp pháp đã bị xâm nhập và được dùng để lưu trữ các máy chủ command-and-control (C&C), bao gồm Comcast Cable Communications, Liquid Web, Netia SA, Coreix Ltd, GoDaddy.com và Korea Telecom.
  • Bài viết cung cấp danh sách chi tiết các kỹ thuật MITRE ATT&CK mà kẻ tấn công đã sử dụng.
  • Kẻ tấn công dùng LinkedIn để xác định và tiếp cận các nhân viên cụ thể, đồng thời tạo danh tính LinkedIn giả mạo đóng vai headhunter của Meta.
  • Bài viết tham chiếu nhiều nguồn để cung cấp cái nhìn tổng quan toàn diện về chiến dịch gián điệp mạng này.
  • Bài viết đặc biệt phù hợp với độc giả am hiểu kỹ thuật quan tâm đến an ninh mạng, nhờ cung cấp phân tích chi tiết về các kỹ thuật mà kẻ tấn công đã sử dụng và các website liên quan.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-02
Ý kiến trên Hacker News
  • Bài viết nói về một phương thức tấn công tinh vi, trong đó hacker giả làm nhà tuyển dụng để gửi bài toán lập trình đã bị cài trojan cho nhân viên ngành hàng không vũ trụ.
  • Hacker đã giành được quyền truy cập thông qua bài test leetcode làm tại nhà, dạng thường bị bỏ qua trong hệ thống cảnh báo của Apple.
  • Hacker nhắm vào những cá nhân có khả năng sở hữu quyền truy cập cấp cao vào thông tin doanh nghiệp.
  • Một số người sử dụng tài nguyên của công ty cho hoạt động tìm việc, và điều này có thể dẫn đến những vụ vi phạm bảo mật như vậy.
  • Hacker đã gửi cho nạn nhân một tệp .exe, lẽ ra đây phải là một dấu hiệu cảnh báo đỏ cho khả năng bị tấn công.
  • Một số người cố tình không đăng CV lên Internet để tránh những sự cố bảo mật kiểu này.
  • Có ý kiến chỉ trích những người dùng thiết bị công ty cho việc cá nhân, vì điều này làm tăng rủi ro vi phạm bảo mật.
  • Có suy đoán về việc vì sao nhóm hacker Bắc Triều Tiên Lazarus/HIDDEN COBRA lại có thể tinh vi đến vậy dù người dân Bắc Triều Tiên bị hạn chế truy cập Internet.
  • Vụ việc này khiến mọi người cân nhắc tìm hiểu các hệ điều hành an toàn hơn như qubes-os.
  • Hacker đã gửi một bài toán lập trình đơn giản, trong khi đa số công ty thường bắt đầu bằng bài mức trung bình hoặc khó, nên đây lẽ ra cũng phải là một tín hiệu cảnh báo.
  • Có các giai thoại về những vụ hack tương tự, chẳng hạn như laptop bị xâm nhập thông qua Wi‑Fi miễn phí.