Chiến lược phần mềm độc hại mới của Lazarus nhắm mục tiêu vào các nhà phát triển
Just a SOC Analyst ^^
Nhóm Lazarus, nổi tiếng với các mối đe dọa mạng liên quan đến Triều Tiên, đã triển khai một chiến thuật mới nhắm vào các nhà phát triển trên toàn thế giới. Chiến dịch này sử dụng một implant phần mềm độc hại tiên tiến có tên là "Marstech1".
Cơ sở hạ tầng C2 của mã độc Marstech1
Implant Marstech lần đầu tiên xuất hiện vào cuối tháng 12 năm 2024, liên kết với một server C2 tại địa chỉ 95.164.45.239, và cũng được host trên Stark Industries VPS. Nó thiết lập các kết nối gửi dữ liệu qua port 3000. Implant này được nhúng trong mã của tài khoản GitHub liên kết với SuccessFriend, được nghi ngờ là hồ sơ GitHub của nhóm Lazarus.
Tài khoản GitHub "SuccessFriend" đã được phát hiện có liên kết với nhiều server C2 từ năm 2024. Hồ sơ này có các dự án liên quan đến phát triển web và blockchain, phù hợp với sở thích của Lazarus. Khi kiểm tra lịch sử hoạt động của tài khoản này, các chuyên gia nhận thấy nó đã commit code vào một số dự án, gần đây nhất là từ tháng 11 năm 2024, thời điểm các repo liên quan đến phần mềm độc hại bắt đầu xuất hiện.
Hình 1. Tài khoản github SuccessFriend chứa implant độc hại
Implant origin.js được biết đến với tên Marstech1 đã được công bố trong repo này. Implant này gửi dữ liệu bị trích xuất đến đường dẫn URL hxxp://95.164.45.239:3001/uploads và nhận các implant giai đoạn hai từ đường dẫn URL hxxp://95.164.45.239:3001/client/marstech1.
Đặc điểm của Marstech1
Marstech1 là một implant dựa trên JavaScript, được thiết kế để thu thập thông tin hệ thống như tên máy, platform và đường dẫn chính. Nó sử dụng các phương pháp làm rối mã (obfuscation) như control flow flattening, self-invoking functions, sử dụng tên biến và hàm ngẫu nhiên, mã hóa chuỗi Base64, và kiểm tra anti-debugging. Những kỹ thuật này khiến việc phát hiện mã độc trở nên khó khăn hơn, giúp chúng có thể lẩn trốn trong những gói phần mềm hoặc trang web hợp pháp.
Hình 2. Payload độc hại (origin.js) xuất hiện ở bước đầu của chiến dịch tấn công
Các khả năng của mã độc Marstech
Khả năng nhắm mục tiêu vào các ví tiền điện tử
Implant JavaScript này nhắm mục tiêu vào các ví tiền điện tử Exodus và Atomic trên Linux, macOS và Windows. Implant sẽ quét toàn bộ hệ thống để tìm kiếm các ví tiền điện tử nhằm đọc nội dung tệp hoặc trích xuất metadata.
Hình 3. Chức năng scan và trích xuất dữ liệu
Khả năng trích xuất dữ liệu
Implant Marstech1 sẽ đóng gói dữ liệu về file thành một mảng các đối tượng, mỗi đối tượng chứa nội dung của file cùng với định danh và metadata. Sau đó dữ liệu này được chuẩn hóa này được gửi đến C2 server thông qua yêu cầu HTTP POST, với URL mục tiêu được ghép từ các đoạn chuỗi mã hóa Base64 để tránh bị phát hiện. Quá trình này cho phép kẻ tấn công trích xuất thông tin nhạy cảm đến máy chủ C2 từ xa.
Khả năng Anti-Analysis
Mã độc này sử dụng các kỹ thuật chống phân tích sau:
One-time wrappers: Các hàm quan trọng chỉ được phép chạy một lần, sau đó callback bị vô hiệu hóa để ngăn chặn các lần gọi tiếp theo có hiệu lực. Điều này ngăn cản việc callback hoặc sửa đổi các hàm quan trọng trong quá trình debug hoặc phân tích mã độc.
Self-referential check: Mã kiểm tra hàm để phát hiện các hành vi can thiệp hoặc dịch ngược mã độc.
Chiếm quyền điều khiển console: Các phương thức console tiêu chuẩn được thay thế bằng các hàm tùy chỉnh để che giấu debug output và can thiệp vào việc ghi log, khiến việc theo dõi các hoạt động trong lúc mã độc chạy trở nên khó khăn hơn.
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến mã độc này:
Cập nhật phần mềm thường xuyên: Đảm bảo rằng hệ điều hành và tất cả các phần mềm, đặc biệt là các ứng dụng liên quan đến bảo mật, luôn được cập nhật phiên bản mới nhất để vá các lỗ hổng bảo mật.
Sử dụng phần mềm diệt virus và tường lửa: Cài đặt và duy trì các phần mềm diệt virus và tường lửa đáng tin cậy để phát hiện và ngăn chặn các mối đe dọa tiềm ẩn.
Thực hiện sao lưu dữ liệu định kỳ: Sao lưu dữ liệu quan trọng thường xuyên để đảm bảo rằng bạn có thể khôi phục lại dữ liệu trong trường hợp bị tấn công.
Giáo dục và nâng cao nhận thức: Đào tạo nhân viên và người dùng về các mối đe dọa an ninh mạng và cách nhận biết các dấu hiệu của một cuộc tấn công mã độc.
Kiểm tra và giám sát hệ thống: Thực hiện kiểm tra bảo mật định kỳ và giám sát hệ thống để phát hiện các hoạt động bất thường.
Hạn chế quyền truy cập: Áp dụng nguyên tắc quyền truy cập tối thiểu, chỉ cho phép người dùng truy cập vào những tài nguyên cần thiết cho công việc của họ.
Sử dụng xác thực hai yếu tố (2FA): Áp dụng xác thực hai yếu tố cho các tài khoản quan trọng để tăng cường bảo mật.
Kiểm tra mã nguồn và các thư viện bên thứ ba: Đảm bảo rằng mã nguồn và các thư viện bên thứ ba được sử dụng trong các dự án phát triển phần mềm không chứa mã độc.
