Cảnh báo chiến dịch tấn công APT của nhóm tin tặc Triều Tiên
Cục An toàn thông tin cảnh báo về chiến dịch tấn công APT, ghi nhận nhóm tin tặc Triều Tiên triển khai mã độc OtterCookie trong chiến dịch tấn công 'Contagious Interview'.
Cục An toàn thông tin (Bộ TT-TT) đã thống kê và có cảnh báo về tình hình an toàn thông tin đầu năm 2025.
Nhóm tin tặc Triều Tiên triển khai mã độc OtterCookie
Theo đó, Cục An toàn thông tin cảnh báo về chiến dịch tấn công APT, ghi nhận nhóm tin tặc Triều Tiên triển khai mã độc OtterCookie trong chiến dịch tấn công “Contagious Interview”.
Chiến dịch tấn công còn có tên khác là DeceptiveDevelopment sử dụng kỹ thuật social engineering với nhóm giả danh thành các nhân viên tuyển dụng để lừa người dùng đang tìm kiếm việc làm tải xuống mã độc như một bước trong quá trình phỏng vấn.
Cục An toàn thông tin cảnh báo về chiến dịch tấn công APT - Ảnh: NCSC
Các mã độc được cài vào trong gói npm hoặc ứng dụng họp video được lưu trên GitHub hoặc registry chính thức của gói, qua đó cho phép kẻ xấu phát tán mã độc. Hiện nhóm tấn công này đang được theo dõi dưới tên CL-STA-0240.
Vào tháng 9.2024, cơ quan bảo mật Group-IB đã công bố thông tin chi tiết về chuỗi tấn công, nhằm tô điểm việc sử dụng phiên bản cải tiến của BeaverTail có tính module bằng cách tách rời chức năng đánh cắp dữ liệu của mã độc ra một bộ script Python có tên CivetQ.
Đáng chú ý, chiến dịch Contagious Interview hiện đang được cho là tách biệt với chiến dịch “Operation Dream Job”, cũng là một chiến dịch tấn công thực hiện bởi nhóm tin tặc Triều Tiên với cùng phương thức lây nhiễm thông qua các mồi nhử liên quan tới việc làm.
Ngoài ra, trong phát hiện mới nhất, mã độc JavaScript được sử dụng để thực thi BeaverTail còn có chức năng tải xuống và thực thi mã độc OtterCookie, được phát hiện vào tháng 9.2024 và có phiên bản mới hơn vào tháng 11.2024.
Mã độc OtterCookie khi được thực thi sẽ kết nối tới máy chủ C&C thông qua thư viện JavaScript “Socket.IO”, sau đó sẽ chờ chỉ thị mới. Mã độc được thiết kế để thực thi các câu lệnh shell có nhiệm vụ đánh cắp dữ liệu như file, nội dung trong clipboard và khóa ví tiền ảo.
Chiến dịch tấn công này được công bố trong bối cảnh các nhóm tin tặc đang gia tăng nỗ lực cập nhật bộ công cụ sử dụng mà vẫn giữ lại chuỗi tấn công, điều này chứng tỏ chiến dịch tấn công có tính hiệu quả cao.
Phương thức tấn công “DoubleClickjacking” - Ảnh: NCSC
Phương thức tấn công “DoubleClickjacking” bỏ qua bảo mật Clickjacking trên website
Theo Cục An toàn thông tin, gần đây, các chuyên gia bảo mật đã ghi nhận và công bố chi tiết của một lớp lỗ hổng dựa trên thời gian phổ biến sử dụng trình tự double-click để thực hiện tấn công clickjacking và chiếm dụng tài khoản trên các website.
Kỹ thuật này hiện được đặt tên là DoubleClickjacking. Cụ thể, thay vì dựa vào một lần click, kỹ thuật sử dụng trình tự double-click cho phép thao túng UI để vượt qua các biện pháp bảo mật clickjacking hiện có, bao gồm cả header X-Frame-Options hay cookie SameSite: Lax/Strict.
Kỹ thuật tấn công Clickjacking, hay còn gọi là chỉnh sửa UI là một kỹ thuật trong đó người dùng bị lừa vào việc bấm vào một yếu tố trông như an toàn trên website (thường là nút xác nhận), từ đó dẫn tới việc triển khai mã độc trên hệ thống hoặc trích xuất dữ liệu quan trọng.
Theo cơ quan chức năng, lỗ hổng và kỹ thuật này có thể bị loại bỏ bằng cách sử dụng giải pháp client-side cho phép tắt chức năng của các nút quan trọng trên website trừ khi di chuột theo một cách nhất định, hoặc khi người dùng bấm nút trên bàn phím.
