PDF 'quà lễ Phục sinh' chứa mã độc: Tin tặc nhắm thẳng vào doanh nghiệp công nghệ

[Kaya]

Các nhà nghiên cứu bảo mật vừa cảnh báo về một chiến dịch tấn công mạng mới được cho là liên quan tới một nhóm APT quốc tế, sử dụng các tệp PDF mang chủ đề lễ Phục sinh làm mồi nhử để phát tán mã độc. Chiến dịch được phát hiện bởi phòng thí nghiệm bảo mật LAB52 và được đặt tên là LAB52EasterBunny.

Theo phân tích, mục tiêu chính của chiến dịch không phải người dùng phổ thông mà là các doanh nghiệp công nghệ, nhóm phát triển phần mềm, tổ chức nghiên cứu và cộng đồng mã nguồn mở trên toàn cầu. Mục đích cuối cùng là đánh cắp mã nguồn, dữ liệu nghiên cứu và các bí mật kinh doanh có giá trị cao.​

Khi "quà tặng lễ hội" trở thành cái bẫy​

Lợi dụng tâm lý tò mò trong các dịp lễ, tin tặc phát tán hàng loạt tệp PDF với những tiêu đề hấp dẫn liên quan đến lễ Phục sinh, quà tặng nội bộ hoặc tài liệu chia sẻ đặc biệt dành cho giới công nghệ.

Các tệp này được thiết kế giống tài liệu thông thường, nhưng bên trong chứa mã độc hoặc cơ chế kích hoạt tải xuống thành phần độc hại từ máy chủ điều khiển của kẻ tấn công.
​

Khi nạn nhân mở tài liệu và thực hiện các thao tác theo hướng dẫn, mã độc sẽ được triển khai âm thầm trên thiết bị. Quá trình này diễn ra kín đáo, khiến người dùng khó nhận ra hệ thống đã bị xâm nhập.

Sau khi cài đặt thành công, phần mềm độc hại sẽ thiết lập cơ chế tồn tại lâu dài trên máy tính, tự khởi động cùng hệ thống và duy trì kết nối với hạ tầng điều khiển từ xa của nhóm tấn công.​

Đánh cắp mã nguồn và tài sản trí tuệ​

Theo LAB52, một trong những mục tiêu ưu tiên của chiến dịch là các tài sản công nghệ có giá trị. Mã độc sẽ tìm kiếm:​

• Mã nguồn dự án phần mềm;​
• Kho lưu trữ mã nguồn;​
• Khóa truy cập Git và thông tin xác thực của nhà phát triển;​
• Tệp cấu hình môi trường phát triển;​
• Tài liệu kỹ thuật nội bộ.​

Những dữ liệu này sau đó được thu thập và gửi về máy chủ do kẻ tấn công kiểm soát. Đối với các công ty công nghệ, việc mất quyền kiểm soát mã nguồn có thể dẫn đến rò rỉ công nghệ độc quyền, đánh mất lợi thế cạnh tranh hoặc tạo cơ hội cho các cuộc tấn công chuỗi cung ứng phần mềm trong tương lai.​

Doanh nghiệp có thể mất nhiều hơn dữ liệu​

Không chỉ tập trung vào mã nguồn, chiến dịch còn được thiết kế để thu thập các thông tin kinh doanh nhạy cảm. Nhóm tấn công được cho là tìm kiếm:​

• Hồ sơ nghiên cứu và phát triển;​
• Thiết kế sản phẩm;​
• Hồ sơ sáng chế;​
• Biên bản họp nội bộ;​
• Nội dung email;​
• Thông tin về đối tác và khách hàng.​

Những dữ liệu này có thể mang lại giá trị lớn trong các hoạt động gián điệp mạng hoặc phục vụ cho các mục đích tình báo kinh tế.​

Tấn công có chủ đích vào giới công nghệ​

Khác với nhiều chiến dịch phát tán mã độc đại trà, LAB52EasterBunny được đánh giá là hoạt động có chủ đích cao. Tin tặc sử dụng hình thức spear-phishing (lừa đảo có chủ đích), gửi tài liệu độc hại trực tiếp tới:​

• Nhân sự nghiên cứu và phát triển (R&D);​
• Kỹ sư phần mềm;​
• Nhóm kỹ thuật doanh nghiệp;​
• Nhà nghiên cứu tại các trường đại học;​
• Thành viên cộng đồng mã nguồn mở.​

Các email thường được ngụy trang dưới dạng tài liệu chia sẻ từ đối tác, quà tặng dịp lễ hoặc thông tin chuyên môn liên quan đến công việc nhằm tăng khả năng nạn nhân mở tệp. Một số trường hợp còn giả mạo người quản lý, bộ phận nhân sự hoặc đối tác kinh doanh để nâng cao độ tin cậy.​

Chiêu thức quen thuộc của các nhóm APT​

Các chuyên gia nhận định chiến dịch lần này mang nhiều đặc điểm thường thấy trong hoạt động của các nhóm APT. Thay vì khai thác các lỗ hổng kỹ thuật phức tạp, những nhóm này thường kết hợp kỹ thuật xã hội với tài liệu độc hại để vượt qua lớp phòng thủ của doanh nghiệp.

Việc tận dụng các sự kiện theo mùa, ngày lễ hoặc chủ đề đang được quan tâm giúp giảm sự cảnh giác của người dùng, từ đó nâng cao tỷ lệ thành công của chiến dịch. Bên cạnh đó, các mục tiêu được lựa chọn thường là những tổ chức sở hữu tài sản trí tuệ, công nghệ hoặc dữ liệu có giá trị chiến lược.​

Làm gì để tránh trở thành nạn nhân?​

Các chuyên gia bảo mật khuyến nghị người dùng và doanh nghiệp áp dụng nguyên tắc "không tin tưởng mặc định" đối với các tệp đính kèm nhận được qua email hoặc nền tảng nhắn tin.

Một số biện pháp cần thực hiện gồm:​

• Không mở các tệp PDF hoặc tài liệu lạ từ nguồn chưa xác minh;​
• Không cho phép chạy macro hoặc script khi không thực sự cần thiết;​
• Tắt tính năng thực thi nội dung động trong các trình đọc PDF;​
• Tách biệt môi trường phát triển chứa mã nguồn quan trọng khỏi máy tính sử dụng hằng ngày;​
• Áp dụng giải pháp EDR/XDR để phát hiện hoạt động bất thường;​
• Thường xuyên sao lưu dữ liệu quan trọng;​
• Đào tạo nhân viên nhận diện email lừa đảo và kỹ thuật xã hội.​

Mối đe dọa ẩn sau những tài liệu tưởng như vô hại​

Chiến dịch LAB52EasterBunny cho thấy các nhóm tấn công có chủ đích đang ngày càng tận dụng những chủ đề quen thuộc trong đời sống để che giấu hoạt động phát tán mã độc. Một tệp PDF tưởng chừng chỉ là tài liệu chia sẻ hoặc quà tặng dịp lễ có thể trở thành điểm khởi đầu cho việc đánh cắp mã nguồn, bí mật kinh doanh và xâm nhập toàn bộ mạng nội bộ doanh nghiệp.

Đối với các tổ chức công nghệ, nơi giá trị cốt lõi nằm ở dữ liệu nghiên cứu và tài sản trí tuệ, việc nâng cao cảnh giác trước các tệp đính kèm và áp dụng các biện pháp bảo vệ chủ động vẫn là tuyến phòng thủ hiệu quả nhất trước những chiến dịch APT ngày càng tinh vi.​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview