Là một phần của hội nghị ESET World, ESET Research đã chia sẻ thông tin mới về nhóm Lazarus APT và các cuộc tấn công của nhóm này nhằm vào các nhà thầu quốc phòng trên khắp thế giới từ cuối năm 2021 đến tháng 3 năm 2022.
Nhóm Lazarus APT là gì?
Giám đốc Nghiên cứu Mối đe dọa của ESET, Jean-Ian Boutin, đã xem xét một số chiến dịch gần đây do nhóm Lazarus thực hiện nhằm vào các nhà thầu quốc phòng trên khắp thế giới từ cuối năm 2021 đến tháng 3 năm 2022. Theo phép đo từ xa của ESET, Lazarus nhắm mục tiêu vào các công ty ở Châu Âu và Châu Mỹ Latinh.
Mặc dù mục đích chính của Chiến dịch Lazarus là gián điệp mạng nhưng nhóm này cũng đã tiến hành một hoạt động tống tiền thất bại. Theo Jean-Ian Boutin, “Nhóm đe dọa Lazarus đã thể hiện sự khéo léo của mình bằng cách triển khai một bộ công cụ thú vị, bao gồm thành phần chế độ người dùng có thể khai thác trình điều khiển Dell dễ bị tấn công để ghi vào bộ nhớ kernel. Kỹ thuật tiên tiến này đã được sử dụng để vượt qua việc giám sát các giải pháp bảo mật.”
Ngay từ năm 2020, các nhà nghiên cứu của ESET đã ghi lại một chiến dịch của một nhóm nhỏ Lazarus chống lại các nhà thầu quốc phòng và hàng không vũ trụ châu Âu, được gọi là Operation In(ter)ception. Mặc dù các loài gây hại được sử dụng trong chiến dịch này là khác nhau nhưng mục tiêu vẫn giống nhau: Chúng sử dụng mạng xã hội, cụ thể là LinkedIn, để tạo dựng niềm tin giữa kẻ tấn công và nhân viên, đồng thời bí mật đăng thành phần độc hại để nhân viên có thể mở nó. Vào thời điểm đó, các công ty ở Brazil, Cộng hòa Séc, Qatar, Thổ Nhĩ Kỳ và Ukraine đã trở thành mục tiêu.
Các nhà nghiên cứu của ESET tin rằng hành động này chủ yếu nhằm mục đích tấn công các công ty châu Âu, nhưng bằng cách theo dõi một số nhóm nhỏ Lazarus đã thực hiện các chiến dịch tương tự chống lại các nhà thầu quốc phòng, họ nhận ra rằng chiến dịch đã lan rộng rất xa. Mặc dù phần mềm độc hại được sử dụng trong các chiến dịch khác nhau là khác nhau nhưng cách hoạt động ban đầu của nó luôn giống nhau: một nhà tuyển dụng giả mạo đã liên hệ với một nhân viên qua LinkedIn và cuối cùng gửi các thành phần độc hại.
Trong bối cảnh này, họ tiếp tục với phương pháp tương tự như trước đây. Tuy nhiên, các nhà nghiên cứu của ESET cũng đã ghi nhận việc sử dụng các yếu tố chiến dịch tuyển dụng hợp pháp để tăng thêm tính hợp pháp cho các chiến dịch tuyển dụng gian lận. Ngoài ra, những kẻ tấn công cũng sử dụng các dịch vụ như WhatsApp hoặc Slack trong các chiến dịch độc hại của chúng.
Năm 2021, Bộ Tư pháp Hoa Kỳ cáo buộc ba lập trình viên CNTT làm việc cho quân đội Triều Tiên và dàn dựng một cuộc tấn công mạng. Theo chính phủ Mỹ, họ thuộc đơn vị hacker quân sự của Triều Tiên được cộng đồng infosec biết đến với cái tên Lazarus Group.
