Vừa qua, trong một bài viết trên GBHackers cho biết, nhóm tin tặc Lazarus gần đây đã thực hiện một chiến dịch tấn công tinh vi được gọi dưới cái tên "Chiến dịch DreamJob" nhắm tới nạn nhân đang làm việc trong lĩnh vực liên quan tới năng lượng hạt nhân thông qua các lời mời hợp tác giả có đính kèm mã độc.

Lazarus Group hay còn được biết đến với cái tên APT38, là một nhóm tội phạm mạng được coi là có liên quan tới Triều Tiên, là tác nhân của hàng loạt các cuộc tấn công mạng gây thiệt hại lớn trong khu vực Châu Á - Thái Bình Dương trong khoảng từ năm 2009 tới nay. Kỹ thuật và phương thức khai thác của Lazarus chủ yếu là khai thác các lỗ hổng Zero-day, lan truyền các thông tin sai lệch, triển khai backdoor hoặc mã độc lên hệ thống của nạn nhân. Ngoài ra, nạn nhân của nhóm chủ yếu là các ngân hàng, các tổ chức tài chính, sòng bạc, các sàn giao dịch tiền điện tử, endpoint của hệ thống SWIFT và các máy ATM. Đáng chú ý, vào năm 2015, Ngân hàng Thương mại Cổ phần Tiên Phong - TPBank của Việt Nam đã thiệt hại khoảng 1 triệu Đô la Mỹ khi trở thành nạn nhân trong một chiến dịch tấn công đánh cắp của nhóm tin tặc này.

Trong chiến dịch mới nhất của nhóm tin tặc này được ghi nhận, dưới cái tên "DreamJob", nhóm sử dụng các công cụ VNC (Virtual Network Computing) bị Trojan hóa, ngụy trang dưới dạng các tập tin lưu trữ đánh giá kỹ năng và gửi tới nạn nhân. Những tệp tin này triển khai các downloader, loader và backdoor, cho phép tin tặc thiết lập quyền truy cập trái phép liên tục tới hệ thống bị nhiễm, đồng thời cho phép tin tặc đánh cắp dữ liệu trong hệ thống, triển khai nghe lén hoặc tấn công gây gián đoạn hệ thống.

Nhóm sử dụng các tệp tin ISO để lan truyền tệp tin TightVNC đã bị Trojan hoá (AmazonVNC.exe) nguỵ trang thành trình xem VNC hợp lệ thay vì các tệp tin ZIP nhằm tránh bị quét bởi các biện pháp bảo vệ hệ thống. Công cụ này tạo ra một khoá XOR dựa trên địa chỉ IP được cung cấp để giải mã downloader, cho phép tải xuống Ranid và lưu trữ nó trong tệp thực thi của VNC. Trong trường hợp sử dụng tệp ZIP, nhóm này triển khai các tệp ZIP chứa tệp tin vncviewer.exe hợp pháp cùng với một tệp độc hại vnclang.dll, cho phép tải xuống các payload bổ sung như RollMid hay LPEClient biến thể mới khi được khởi chạy.

Ngoài ra, các nhà nghiên cứu bảo mật đã phát hiện sự tồn tại của CookieTime một công cụ linh hoạt để di chuyển ngang trong mạng (lateral movement) và phát tán phần mềm độc hại cho Larazus. CookieTime nhận lệnh trực tiếp từ máy chủ C2, tận dụng các kỹ thuật như DLL side-loading và service execution nhằm tránh bị phát hiện, tiến hoá để tải xuống và thực thi nhiều biến thể của LPEClient, Charamel Loader và ServiceChanger trên hệ thống bị lây nhiễm.

Mặt khác, một phần mềm độc hại mới với cái tên “CookiePlus” cũng đã được phát hiện trong nghiêm cứu. CookiePlus có thể được tải xuống qua ServiceChanger hoặc Charamel Loader, sau khi giao tiếp với máy chủ C2 sẽ tải xuống các payload bổ sung, bao gồm DLL hoặc shellcodes. CookiePlus sử dụng các kỹ thuật mã hóa và xác định loại payload dựa trên các flag, giúp thực thi phần mềm độc hại một cách lén lút và gửi kết quả về máy chủ C2. Ngoài ra, nhóm Lazarus gần đây đã chuyển sang sử dụng các máy chủ WordPress bị xâm nhập làm máy chủ C2, thể hiện sự nỗ lực của nhóm trong việc nâng cao khả năng tấn công và né tránh các biện pháp bảo mật.