Nhóm hacker APT37 liên quan đến Triều Tiên sử dụng phần mềm độc hại ngụy trang trong file ảnh JPEG để tấn công.
Phần mềm độc hại này áp dụng phương pháp tiêm shellcode mã hóa hai giai đoạn, khai thác tệp .lnk chứa lệnh Cmd hoặc PowerShell để thực thi mã, gây khó khăn cho việc phân tích và phát hiện.
- APT37 triển khai malware ẩn trong ảnh JPEG với kỹ thuật shellcode hai giai đoạn mã hóa.
- Kẻ tấn công lợi dụng file shortcut .lnk chứa lệnh Cmd hoặc PowerShell để thực thi mã độc.
- Giám sát EDR nâng cao, tập trung phát hiện hành vi bất thường trên endpoint là yếu tố then chốt phòng ngừa.
Nhóm APT37 đã sử dụng cách thức nào để tấn công qua file JPEG?
Theo đánh giá chuyên môn của CISO SlowMist 23pds, APT37 áp dụng phương pháp phức tạp để che giấu malware trong file ảnh JPEG, sử dụng kỹ thuật tiêm shellcode mã hóa hai lớp nhằm làm khó quá trình phân tích.
Hacker thực hiện quá trình tiêm shellcode theo hai giai đoạn giúp tránh bị nhận diện dễ dàng bởi các công cụ an ninh truyền thống. Đây là chiến thuật tinh vi được nhóm tin tặc liên quan đến Triều Tiên triển khai để duy trì khả năng thâm nhập hệ thống lâu dài.
Phương thức này không những che giấu payload độc hại mà còn tận dụng đặc tính của file ảnh JPEG phổ biến để qua mặt kiểm duyệt mã độc, tăng hiệu quả tấn công.
Làm thế nào tin tặc sử dụng file .lnk để thực thi mã độc?
Đội ngũ chuyên gia bảo mật từ SlowMist giải thích, tin tặc lợi dụng file shortcut có phần mở rộng .lnk chứa các lệnh Cmd hoặc PowerShell, tạo điều kiện thuận lợi cho việc thực thi malware một cách kín đáo trên máy nạn nhân.
Kỹ thuật này cho phép mã độc được khởi chạy ngay khi người dùng mở file shortcut mà không cần thao tác phức tạp, từ đó đơn giản hóa quá trình xâm nhập và giảm nguy cơ bị phát hiện sớm.
Việc tích hợp lệnh shell trực tiếp trong file .lnk tạo ra một kênh điều khiển hiệu quả, đồng thời khó bị phát hiện bởi các biện pháp an ninh đầu cuối chưa tối ưu.
Việc sử dụng hai giai đoạn tiêm shellcode mã hóa cho thấy sự tinh vi và nguy hiểm của các cuộc tấn công từ APT37, đòi hỏi biện pháp giám sát hành vi endpoint phải được cải tiến liên tục để phòng tránh hiệu quả.
23pds, CISO SlowMist, 4/8/2024
Tại sao công nghệ EDR giám sát hành vi bất thường trên endpoint lại quan trọng?
Giám sát phát hiện và phản hồi điểm cuối (EDR) được xem là công cụ thiết yếu trong việc phát hiện sớm các dấu hiệu tấn công phức tạp như APT37 sử dụng, do khó phát hiện qua phương pháp truyền thống.
Một hệ thống EDR tối ưu tập trung vào việc nhận diện các hành động bất thường thay vì chỉ dựa vào chữ ký phần mềm độc hại, giúp ngăn chặn kịp thời khi malware tiến hành lệnh cmd hoặc PowerShell thông qua file .lnk.
Chuyên gia khuyến nghị các tổ chức cần triển khai EDR hiệu quả, đồng bộ cùng các chính sách bảo mật nâng cao để giám sát liên tục, giảm thiểu rủi ro từ các chiến thuật tấn công đa tầng này.
Cách phòng tránh và ứng phó với kỹ thuật tấn công này ra sao?
Phòng chống cần tập trung vào việc hạn chế sử dụng file shortcut không rõ nguồn gốc cũng như giám sát chặt chẽ việc thực thi lệnh cmd hoặc PowerShell trên hệ thống nội bộ.
Đào tạo nhân viên về nhận diện và cảnh giác với các file đính kèm đáng ngờ, đồng thời duy trì cập nhật phần mềm bảo mật và EDR là yếu tố quan trọng để giảm thiểu nguy cơ bị lợi dụng.
Áp dụng chính sách kiểm soát nghiêm ngặt quyền sử dụng các công cụ dòng lệnh trên endpoint sẽ góp phần lớn vào việc ngăn chặn tấn công thành công.
Những câu hỏi thường gặp
APT37 là nhóm hacker như thế nào?
APT37 là nhóm hacker liên quan Triều Tiên, nổi tiếng sử dụng các kỹ thuật tinh vi để tấn công mạng nhằm đánh cắp thông tin hoặc phá hoại hệ thống.
Phần mềm độc hại ẩn trong file JPEG hoạt động ra sao?
Malware được ngụy trang trong ảnh JPEG sử dụng kỹ thuật tiêm shellcode mã hóa hai giai đoạn, khó bị phân tích và phát hiện bằng các công cụ an ninh thông thường.
Tệp .lnk có nguy cơ gì trong tấn công mạng?
File shortcut .lnk có thể chứa lệnh cmd hoặc PowerShell độc hại để thực thi mã, giúp hacker chạy malware một cách âm thầm khi người dùng mở file.
Giám sát EDR giúp phát hiện hành vi bất thường thế nào?
EDR tập trung vào theo dõi và phân tích các hành vi bất thường trên endpoint, từ đó cảnh báo sớm và ngăn chặn các cuộc tấn công mã độc tinh vi như APT37.
Làm sao để phòng tránh kỹ thuật tấn công này?
Nâng cao cảnh giác với file đính kèm, hạn chế sử dụng file shortcut không rõ nguồn, cập nhật EDR và đào tạo nhân viên là các bước hiệu quả phòng chống.
