Cảnh báo an toàn thông tin Tuần 32/2024

Nguồn: https://khonggianmang.vn/

1. TIN TỨC AN TOÀN THÔNG TIN

- Chiến dịch tấn công APT: Nhóm APT Moonstone Sleet của Triều Tiên tiếp tục chiến dịch phát tán mã độc thông qua npm.

- Cảnh báo: Chiến dịch tấn công thông qua Windows Update có thể "gỡ bỏ" các bản vá hệ thống.

Chiến dịch tấn công APT: Nhóm APT Moonstone Sleet của Triều Tiên tiếp tục chiến dịch phát tán mã độc thông qua npm

Nhóm tấn công Moonstone Sleet, được Triều Tiên hậu thuẫn, mới đây đã phát tán các gói npm độc hại lên registry JavaScript với mục tiêu xâm nhập vào hệ thống Windows. Điều này cho thấy sự dai dẳng và liên tục của chiến dịch mà nhóm này đang triển khai.

Vào ngày 7/7/2024, hai gói tin độc hại có tên harthat-api và harthat-hash đã được phát hành lên registry npm. Tuy nhiên, cả hai gói này không thu hút bất kỳ lượt tải xuống nào và đã bị gỡ bỏ chỉ sau một thời gian ngắn. Đáng chú ý, mã độc trong các gói này đã tái sử dụng mã nguồn từ một repository GitHub nổi tiếng có tên node-config, vốn là một công cụ phổ biến trong cộng đồng lập trình.

Moonstone Sleet thường xuyên triển khai các chuỗi tấn công bằng cách phát tán các tệp ZIP giả mạo qua LinkedIn thông qua các tài khoản công ty giả hoặc trên các nền tảng freelancer, từ đó lừa người dùng thực thi mã độc bằng cách tải và chạy các gói npm giả mạo. Khi thực thi, gói npm độc hại sẽ sử dụng lệnh curl để kết nối với một máy chủ do kẻ tấn công kiểm soát, từ đó tải về các payload bổ sung như SplitLoader. Trong một cuộc tấn công khác, Moonstone Sleet đã sử dụng một loader npm độc hại để đánh cắp thông tin đăng nhập từ quy trình LSASS của Windows.

Các gói mã độc mới phát hiện của nhóm này được lập trình để thực hiện một script pre-install được chỉ định trong file package.json. Script này kiểm tra xem hệ thống có đang chạy Windows hay không (thông qua tham số "Windows_NT"). Nếu đúng, nó sẽ kết nối với máy chủ C&C để tải về một tệp DLL, sau đó sử dụng binary rundll32.exe để sideload tệp này vào hệ thống. Mặc dù tệp DLL này chưa thực hiện các hành vi độc hại ngay lập tức, điều này có thể là một thử nghiệm về cơ sở hạ tầng phát tán mã độc, hoặc có khả năng mã độc thực tế chưa được tích hợp vào tệp DLL trước khi nó bị phát hiện và gỡ bỏ.

Thông tin về hoạt động của Moonstone Sleet lần này xuất hiện trong bối cảnh Hàn Quốc đã cảnh báo về các chiến dịch tấn công khác từ các nhóm tin tặc Triều Tiên như Andariel và Kimsuky. Các nhóm này đã nhắm mục tiêu vào ngành 789win nhận 89k và máy móc của Hàn Quốc, phát tán các mã độc như Dora RAT và TrollAgent (còn gọi là Troll Stealer). Đáng chú ý, chuỗi tấn công của Dora RAT đã khai thác cơ chế cập nhật của phần mềm VPN nội địa để phát tán mã độc, gây ra nguy cơ lớn cho các hệ thống bị tấn công.