Nhóm hacker Velvet Chollima tấn công quan chức chính phủ

Nhóm hacker Velvet Chollima, được cho là có liên hệ với Triều Tiên, đã thực hiện một chiến dịch tấn công mạng tinh vi nhắm vào các quan chức chính phủ Hàn Quốc, tổ chức phi chính phủ (NGO), cơ quan chính phủ và các công ty truyền thông trên khắp Bắc Mỹ, Nam Mỹ, châu Âu và Đông Á. Chiến dịch này bắt đầu từ tháng 1/2025 và sử dụng các kỹ thuật lừa đảo tinh vi cùng tài liệu PDF độc hại. Bài viết này sẽ giải thích chi tiết cách thức tấn công của nhóm hacker và cung cấp các biện pháp phòng ngừa cho tổ chức, doanh nghiệp và cá nhân.

Chi tiết kỹ thuật tấn công của Velvet Chollima

1. Gửi email lừa đảo (Spear-Phishing):

   • Nhóm hacker gửi các email lừa đảo được thiết kế kỹ lưỡng, giả mạo danh tính của các quan chức chính phủ Hàn Quốc để tạo lòng tin với nạn nhân. Các email này thường chứa nội dung liên quan đến các vấn đề chính trị hoặc chính sách, phù hợp với đối tượng mục tiêu.

   • Trong email, hacker đính kèm một tệp PDF độc hại. Khi nạn nhân mở tệp, họ được dẫn đến một giao diện CAPTCHA giả mạo (Fake CAPTCHA).

2. Giao diện CAPTCHA giả mạo (ClickFix):

   • Giao diện CAPTCHA giả yêu cầu nạn nhân chạy một đoạn mã PowerShell với quyền quản trị viên (administrator). Thực chất, đoạn mã này được tự động sao chép vào clipboard của nạn nhân.

   • Nếu nạn nhân làm theo hướng dẫn (chạy mã PowerShell), mã độc sẽ được kích hoạt, tạo ra một kết nối TCP (reverse shell) tới máy chủ điều khiển (C2 server) của hacker.

3. Triển khai mã độc và duy trì kết nối:

   • Mã độc PowerShell, thường được đặt tên là payload.ps1, thiết lập một kết nối liên tục với máy chủ của hacker. Điều này cho phép hacker:

     • Khai thác dữ liệu nhạy cảm: Thu thập thông tin quan trọng từ máy tính của nạn nhân.

     • Cài đặt thêm mã độc: Tiếp tục lây nhiễm các phần mềm độc hại khác.

     • Lan rộng trong mạng nội bộ: Nếu nạn nhân thuộc một tổ chức, mã độc có thể lây lan sang các hệ thống khác trong mạng.

   • Hacker còn sử dụng các thay đổi trong registry của hệ thống để đảm bảo mã độc hoạt động ngay cả khi máy tính khởi động lại, giúp duy trì quyền kiểm soát lâu dài.

4. Chiêu thức xã hội (Social Engineering):

   • Velvet Chollima sử dụng kỹ thuật "ClickFix" để đánh lừa tâm lý người dùng. Các thông báo lỗi giả mạo hoặc yêu cầu đăng ký thiết bị giả khiến nạn nhân tin rằng họ cần chạy mã PowerShell để khắc phục vấn đề.

   • Kỹ thuật này khai thác điểm yếu tâm lý, khiến người dùng bỏ qua các biện pháp bảo mật thông thường.

Tác động của cuộc tấn công

• Mục tiêu đa dạng: Chiến dịch nhắm vào các quan chức cấp cao, tổ chức NGO, cơ quan chính phủ và truyền thông trên nhiều khu vực, tập trung đặc biệt vào Hàn Quốc.

• Hậu quả nghiêm trọng: Dữ liệu nhạy cảm có thể bị đánh cắp, hệ thống bị xâm nhập lâu dài, và các tổ chức có nguy cơ bị lây lan mã độc trong mạng nội bộ.

• Tinh vi và khó phát hiện: Kỹ thuật ClickFix và email giả mạo rất khó nhận diện bằng các công cụ bảo mật truyền thống vì chúng dựa vào hành vi của người dùng.

Cách phòng ngừa cho tổ chức, doanh nghiệp và cá nhân

1. Đối với tổ chức và doanh nghiệp

• Tăng cường nhận thức bảo mật:

  • Tổ chức các buổi đào tạo định kỳ để nhân viên nhận biết email lừa đảo (phishing) và các dấu hiệu của kỹ thuật xã hội.

  • Cảnh báo về các email yêu cầu chạy mã lệnh hoặc nhấp vào các liên kết không rõ nguồn gốc.

• Kiểm soát quyền chạy mã lệnh:

  • Hạn chế quyền quản trị viên trên các máy tính của nhân viên để ngăn việc chạy mã PowerShell độc hại.

  • Thiết lập chính sách bảo mật ngăn chặn việc thực thi các tệp PowerShell từ các nguồn không đáng tin cậy.

• Giám sát và phát hiện:

  • Sử dụng các giải pháp bảo mật như Endpoint Detection and Response (EDR) để phát hiện các hoạt động bất thường, chẳng hạn như kết nối tới máy chủ C2.

  • Theo dõi các yêu cầu DNS và kết nối mạng đáng ngờ, đặc biệt liên quan đến các tên miền được báo cáo liên kết với Velvet Chollima.

• Cập nhật phần mềm:

  • Đảm bảo tất cả phần mềm, đặc biệt là Microsoft Office, được cập nhật để vá các lỗ hổng bảo mật cũ (như CVE-2017-0199, CVE-2017-11882) mà các nhóm APT thường khai thác.

• Xác thực email:

  • Áp dụng các giao thức như DMARC, DKIM và SPF để kiểm tra tính xác thực của email, giảm nguy cơ bị lừa bởi email giả mạo.

• Sao lưu và phục hồi:

  • Thường xuyên sao lưu dữ liệu quan trọng và xây dựng kế hoạch phục hồi để giảm thiểu thiệt hại nếu bị tấn công.

2. Đối với cá nhân

• Kiểm tra email cẩn thận:

  • Không mở tệp đính kèm hoặc nhấp vào liên kết từ email không rõ nguồn gốc, ngay cả khi email trông hợp pháp.

  • Kiểm tra địa chỉ email của người gửi (ví dụ: so sánh với địa chỉ chính thức của cơ quan hoặc tổ chức).

• Cảnh giác với các yêu cầu bất thường:

  • Không chạy mã lệnh hoặc phần mềm từ các nguồn không đáng tin cậy, đặc biệt nếu được yêu cầu qua email hoặc trang web.

  • Nếu gặp thông báo CAPTCHA bất thường, hãy kiểm tra URL của trang web để đảm bảo nó hợp pháp.

• Sử dụng phần mềm bảo mật:

  • Cài đặt và cập nhật phần mềm diệt virus uy tín, có khả năng phát hiện mã độc PowerShell và các kết nối đáng ngờ.

• Bật xác thực đa yếu tố (MFA):

  • Kích hoạt MFA trên các tài khoản quan trọng (email, ngân hàng, mạng xã hội) để tăng cường bảo mật.

• Cập nhật hệ thống:

  • Luôn cập nhật hệ điều hành và phần mềm để vá các lỗ hổng bảo mật mà hacker có thể khai thác.

Kết luận

Chiến dịch tấn công của Velvet Chollima cho thấy sự nguy hiểm của các nhóm hacker APT khi kết hợp kỹ thuật xã hội và mã độc tinh vi. Các tổ chức cần đầu tư vào đào tạo nhân viên, giám sát hệ thống và cập nhật phần mềm để đối phó với những mối đe dọa này. Cá nhân cần cảnh giác với email và liên kết đáng ngờ, đồng thời sử dụng các công cụ bảo mật để bảo vệ dữ liệu. Việc kết hợp giữa nhận thức, công nghệ và quy trình bảo mật chặt chẽ là chìa khóa để giảm thiểu rủi ro từ các cuộc tấn công mạng như của Velvet Chollima.

Tham khảo:

• Cybersecurity News: Velvet Chollima APT Hackers Attacking Government Officials With Weaponized PDF

• Velvet Chollima APT Adversary Simulation