Hacker Giả Mạo Ứng Viên Dùng CV Độc Hại Tấn Công HR

Nguyễn Văn TrungNguyễn Văn Trung
7 min read

Trong thế giới số ngày nay, việc nhận hàng chục, thậm chí hàng trăm hồ sơ ứng tuyển (CV) mỗi ngày là công việc quen thuộc của các bộ phận nhân sự (HR) và nhà tuyển dụng. Nhưng bạn đã bao giờ nghĩ rằng, trong số những CV trông có vẻ chuyên nghiệp đó, lại ẩn chứa một mối nguy hiểm khôn lường có thể đánh sập toàn bộ hệ thống bảo mật của công ty?

Một hình thức tấn công mới, cực kỳ tinh vi và nguy hiểm, đang nhắm trực tiếp vào các nhà tuyển dụng. Thay vì lừa đảo người tìm việc, hacker giờ đây lại "lật ngược kịch bản": chúng đóng giả làm những ứng viên tài năng để đưa mã độc vào hệ thống của doanh nghiệp. Bài viết này sẽ phân tích chi tiết kỹ thuật tấn công này và đưa ra những khuyến cáo cấp thiết cho các doanh nghiệp và người dùng Việt Nam.

Thông tin chi tiết

Nhóm hacker nói tiếng Nga có tên FIN6 (còn được biết đến với tên Skeleton Spider), vốn nổi tiếng với các vụ tấn công vào hệ thống thanh toán bán lẻ, nay đã thay đổi chiến thuật. Chúng không còn đóng giả làm nhà tuyển dụng để lừa người tìm việc nữa. Thay vào đó, chúng đóng vai những ứng viên tiềm năng, xây dựng hồ sơ chuyên nghiệp trên các nền tảng uy tín như LinkedIn và Indeed.

Mục tiêu của chúng là chiếm được lòng tin của bộ phận nhân sự, khiến họ mất cảnh giác và tự tay mở ra cánh cửa cho mã độc xâm nhập.

Phân Tích Chi Tiết Kỹ Thuật Tấn:

Cách thức tấn công của FIN6 được thực hiện một cách bài bản và tinh vi, được thiết kế để vượt qua các công cụ bảo mật truyền thống.

Bước 1: Tiếp cận chuyên nghiệp Hacker tạo các hồ sơ ứng viên giả nhưng rất chân thực, sau đó chủ động liên lạc với nhà tuyển dụng qua LinkedIn hoặc email. Quá trình trao đổi ban đầu diễn ra hoàn toàn bình thường và chuyên nghiệp, nhằm xây dựng lòng tin.

Bước 2: Mồi nhử "Không Thể Click" – Chiêu trò né tránh bộ lọc email Đây là điểm cực kỳ thông minh trong chiến thuật của chúng. Thay vì gửi một đường link có thể click trực tiếp (hyperlink) vốn dễ bị các công cụ bảo mật email quét và chặn, hacker sẽ gửi một URL dưới dạng văn bản thuần.

Ví dụ, trong email sẽ có dòng chữ: "Bạn có thể xem portfolio chi tiết của tôi tại: kimberlykamara.com"

Điều này buộc nhà tuyển dụng phải tự tay sao chép và dán (copy-paste) địa chỉ web vào trình duyệt. Hành động thủ công này hoàn toàn qua mặt được cơ chế quét liên kết tự động của các hệ thống bảo mật email.

Bước 3: Trang web giả mạo và bộ lọc "thông minh" Khi truy cập vào địa chỉ web được cung cấp, nhà tuyển dụng sẽ thấy một trang portfolio hoặc CV online được thiết kế rất chuyên nghiệp. Các trang này được lưu trữ trên những nền tảng đám mây uy tín như Amazon Web Services (AWS), khiến chúng trông càng đáng tin cậy hơn.

Đằng sau giao diện đẹp đẽ đó là một bộ lọc tinh vi. Hệ thống sẽ kiểm tra xem người truy cập có phải là người thật hay không (dựa trên địa chỉ IP, loại trình duyệt, có phải Windows không, v.v.).

  • Nếu phát hiện đó là công cụ quét bảo mật tự động, trang web sẽ hiển thị một nội dung vô hại.

  • Nếu xác định đây là người dùng thật (chính là nhà tuyển dụng), nó sẽ tiến hành bước tiếp theo: phát tán mã độc.

Bước 4: File CV giả dạng Người dùng thật sẽ được cung cấp một file nén dạng .zip để tải về. Bên trong file nén này không phải là một file CV dạng .pdf hay .docx như bạn nghĩ. Thay vào đó, nó chứa một file lối tắt (shortcut) độc hại có đuôi là .lnk, nhưng được ngụy trang bằng biểu tượng (icon) của Word hoặc PDF để đánh lừa.

Ví dụ, tên file có thể là CV_Kimberly_Kamara.pdf.lnk. Người dùng bình thường nếu không bật chế độ hiển thị đuôi file sẽ chỉ thấy CV_Kimberly_Kamara.pdf và dễ dàng click vào.

Bước 5: Mã độc "tàng hình" more_eggs và những hậu quả khôn lường Khi nhà tuyển dụng click vào file .lnk giả mạo, nó sẽ kích hoạt một chuỗi lệnh để tải về và thực thi một loại mã độc backdoor có tên là more_eggs.

Loại mã độc này cực kỳ nguy hiểm vì:

  • Hoạt động hoàn toàn trong bộ nhớ (In-memory execution): Nó không tạo ra file trên ổ cứng, giống như một "bóng ma" trong máy tính, khiến các phần mềm diệt virus truyền thống rất khó phát hiện.

  • Sống nhờ tài nguyên hệ thống (Living off the land - LOLBins): Nó lợi dụng các tiến trình hợp pháp có sẵn của Windows (như wscript.exe, regsvr32.exe) để thực thi. Vì đây là các tiến trình hệ thống hợp lệ, nó không gây ra cảnh báo an ninh.

  • Hậu quả: Một khi đã được cài đặt, more_eggs cho phép hacker:

    • Đánh cắp thông tin đăng nhập, mật khẩu.

    • Thực thi lệnh từ xa, kiểm soát hoàn toàn máy tính nạn nhân.

    • Mở đường cho các cuộc tấn công khác, đặc biệt là triển khai ransomware (mã độc tống tiền) để mã hóa toàn bộ dữ liệu của công ty.

Khuyến nghị dành cho tổ chức và các cá nhân

Cuộc tấn công này cho thấy yếu tố con người vẫn là mắt xích yếu nhất trong chuỗi bảo mật. Để phòng chống, Phía FPT Threat Intelligence khuyến nghị cần có sự kết hợp giữa công nghệ và nhận thức.

Đối với Bộ phận Nhân sự và Nhà tuyển dụng:

  1. Cảnh giác tối đa: Luôn thận trọng với các hồ sơ ứng tuyển, đặc biệt là các email không được mong đợi có chứa link hoặc yêu cầu tải file.

  2. Không bao giờ tự tay gõ URL: Tuyệt đối không sao chép và dán các địa chỉ web từ những email không rõ nguồn gốc vào trình duyệt. Nếu cần phải xem, hãy sử dụng một máy tính riêng biệt, không kết nối vào mạng nội bộ hoặc môi trường ảo hóa (sandbox).

  3. Luôn kiểm tra đuôi file: Hãy bật chế độ "Hiển thị đuôi file" (File name extensions) trong Windows. Luôn cảnh giác với các file có đuôi .lnk, .js, .exe, .vbs, .scr... được ngụy trang bên trong file .zip. Một CV thực thụ chỉ nên là .pdf hoặc .docx.

  4. Xác minh ứng viên: Nếu có thể, hãy xác minh danh tính ứng viên qua một kênh khác (ví dụ: gọi video) trước khi mở bất kỳ file nào họ gửi.

Đối với Bộ phận IT và Quản trị hệ thống:

  1. Sử dụng giải pháp bảo mật điểm cuối nâng cao (EDR): Các giải pháp EDR (Endpoint Detection and Response) có khả năng giám sát hành vi, giúp phát hiện các hoạt động bất thường như mã độc chạy trong bộ nhớ hoặc lạm dụng các công cụ hệ thống (LOLBins).

  2. Đào tạo nhận thức an ninh mạng: Thường xuyên tổ chức các buổi đào tạo, cập nhật các hình thức tấn công mới cho toàn bộ nhân viên, đặc biệt là các bộ phận có nguy cơ cao như Nhân sự, Tài chính.

  3. Cấu hình chính sách bảo mật: Hạn chế quyền thực thi các script (như wscript.exe) đối với những người dùng không có nhu cầu.

Cuộc chiến trên không gian mạng ngày càng trở nên phức tạp. Hacker sẽ không ngừng sáng tạo ra những phương thức tấn công mới. Do đó, việc trang bị kiến thức và luôn giữ một tâm thế cảnh giác là lớp phòng thủ quan trọng nhất. Hãy nhớ, chỉ một cú click chuột bất cẩn của một nhân viên có thể khiến cả doanh nghiệp phải trả giá đắt.

Tham khảo:

Hackers Target Job Recruiters Through Malicious Resumes

FIN6 Uses AWS-Hosted Fake Resumes on LinkedIn to Deliver More_eggs Malware

0
Subscribe to my newsletter

Read articles from Nguyễn Văn Trung directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligence

Written by

Nguyễn Văn Trung
Nguyễn Văn Trung