BlackSanta: Hacker dùng hồ sơ xin việc làm “cửa ngõ” xâm nhập hệ thống

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.683 bài viết
BlackSanta: Hacker dùng hồ sơ xin việc làm “cửa ngõ” xâm nhập hệ thống
WhiteHat Team
Một chiến dịch tấn công mạng mới mang tên BlackSanta đang khiến cộng đồng an ninh mạng đặc biệt chú ý khi nhắm trực tiếp vào bộ phận nhân sự (HR) của các doanh nghiệp. Không khai thác lỗ hổng phần mềm truyền thống, kẻ tấn công lợi dụng quy trình tuyển dụng và thói quen xử lý hồ sơ ứng viên để đưa mã độc vào hệ thống nội bộ.
1773307562063.png

Chiến dịch này bắt đầu từ một bản CV tưởng chừng vô hại, nhưng đằng sau đó là một chuỗi tấn công nhiều lớp được thiết kế tinh vi nhằm vượt qua các lớp phòng thủ bảo mật và đánh cắp dữ liệu doanh nghiệp.​

Mã độc BlackSanta là gì?​

BlackSanta là một loại mã độc được thiết kế cho các chiến dịch tấn công có chủ đích, tập trung vào việc vô hiệu hóa các hệ thống bảo mật trên máy tính doanh nghiệp và tạo điều kiện cho tin tặc đánh cắp dữ liệu.

Khác với nhiều chiến dịch malware thông thường, BlackSanta không khai thác trực tiếp lỗ hổng CVE cụ thể của phần mềm. Thay vào đó, nó kết hợp nhiều kỹ thuật:​
  • Social Engineering​
  • Living-off-the-Land (sử dụng công cụ sẵn có của hệ điều hành)​
  • Steganography (ẩn mã độc trong hình ảnh)​
  • Bring Your Own Vulnerable Driver (BYOVD) để tắt hệ thống bảo mật​
Điểm nguy hiểm của chiến dịch nằm ở việc nó tận dụng quy trình làm việc thực tế của phòng nhân sự, nơi thường xuyên nhận và tải về các tệp hồ sơ ứng viên.​

Quá trình tấn công của chiến dịch BlackSanta​

Các chuyên gia phân tích cho biết BlackSanta sử dụng chuỗi tấn công nhiều giai đoạn được thiết kế rất chặt chẽ để tránh bị phát hiện.​

Giai đoạn 1: Tiếp cận ban đầu thông qua hồ sơ xin việc​

Cuộc tấn công bắt đầu khi nhân viên nhân sự tải về một bản CV được lưu trữ trên các nền tảng cloud quen thuộc như Google Drive hoặc OneDrive.

Tệp này thường được đặt tên giống một hồ sơ ứng viên bình thường và được đóng gói dưới dạng tệp ISO - định dạng thường được sử dụng để lưu trữ dữ liệu.

Khi người dùng mở file ISO, hệ thống sẽ hiển thị một file shortcut (.LNK). File này trông giống một tài liệu thông thường nhưng thực chất được thiết kế để kích hoạt chuỗi lệnh độc hại. Chỉ cần nhấp vào file này, quá trình tấn công đã bắt đầu.​

Giai đoạn 2: Kích hoạt payload và thực thi mã độc​

Sau khi file LNK được kích hoạt, hệ thống sẽ chạy một chuỗi lệnh PowerShell đã được làm rối (obfuscation) nhằm tránh bị phát hiện. Các lệnh này thực hiện hai nhiệm vụ chính:​
  1. Trích xuất payload độc hại được ẩn bên trong một hình ảnh sử dụng kỹ thuật steganography​
  2. Tải và thực thi một file DLL độc hại​
Điểm đáng chú ý là DLL này được sideload thông qua một phần mềm hợp pháp đã được ký số, khiến hệ thống tin rằng đây là phần mềm đáng tin cậy. Nhờ vậy, malware có thể chạy mà không gây cảnh báo từ nhiều giải pháp bảo mật.​

Giai đoạn 3: Kiểm tra môi trường và né tránh phân tích​

Trước khi thực hiện các hành động nguy hiểm hơn, malware sẽ tiến hành nhiều bước kiểm tra để đảm bảo nó không đang chạy trong môi trường phân tích. BlackSanta sẽ tìm kiếm các dấu hiệu như:​
  • Môi trường sandbox​
  • Máy ảo phân tích malware​
  • Công cụ debug hoặc giám sát hệ thống​
  • Tên máy hoặc tài khoản người dùng bất thường​
Nếu phát hiện những dấu hiệu này, malware sẽ ngừng hoạt động ngay lập tức để tránh bị các nhà nghiên cứu phát hiện. Nếu môi trường được xác nhận là máy thật của người dùng, malware sẽ tiếp tục triển khai các payload tiếp theo.​

BlackSanta - “kẻ sát thủ EDR”​

Thành phần nguy hiểm nhất trong chiến dịch này chính là module BlackSanta, được thiết kế để vô hiệu hóa hệ thống bảo mật trên máy nạn nhân. BlackSanta sử dụng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), một phương pháp ngày càng phổ biến trong các cuộc tấn công hiện đại.

Trong kỹ thuật này, kẻ tấn công:​
  1. Tải lên driver kernel hợp pháp nhưng có lỗ hổng​
  2. Sử dụng driver này để có quyền truy cập cấp kernel của hệ điều hành​
  3. Từ đó tắt các giải pháp bảo mật​
Sau khi có quyền kernel, malware có thể:​
  • Tắt phần mềm antivirus​
  • Vô hiệu hóa hệ thống EDR (Endpoint Detection and Response)​
  • Làm suy yếu Microsoft Defender​
  • Tắt hệ thống ghi log​
  • Che giấu hoạt động khỏi các bảng điều khiển giám sát an ninh​
Khi các lớp phòng thủ bị vô hiệu hóa, việc đánh cắp dữ liệu hoặc cài đặt backdoor sẽ trở nên dễ dàng hơn rất nhiều.​

Vì sao phòng nhân sự trở thành mục tiêu?​

Các chuyên gia cho rằng chiến dịch này đặc biệt nguy hiểm vì nó nhắm vào quy trình tuyển dụng – một khu vực thường ít được chú ý trong chiến lược an ninh mạng.

Trong thực tế, phòng nhân sự:​
  • Thường xuyên tải xuống tệp từ người lạ​
  • Xử lý hàng trăm hồ sơ trong thời gian ngắn​
  • Ít được đào tạo chuyên sâu về an ninh mạng​
Điều này khiến HR trở thành “điểm yếu tự nhiên” trong hệ thống bảo mật doanh nghiệp. Một bản CV độc hại vì vậy có thể dễ dàng vượt qua nhiều lớp kiểm tra.​

Rủi ro và hậu quả nếu bị khai thác​

Nếu chiến dịch BlackSanta thành công, hậu quả có thể rất nghiêm trọng đối với doanh nghiệp. Những nguy cơ chính bao gồm:​
  • Đánh cắp dữ liệu nội bộ của doanh nghiệp​
  • Rò rỉ thông tin nhân viên và khách hàng​
  • Cài đặt backdoor để duy trì truy cập lâu dài​
  • Chiếm quyền kiểm soát các máy tính trong mạng nội bộ​
  • Làm bàn đạp cho các cuộc tấn công ransomware​
Do malware có khả năng tắt hệ thống phát hiện xâm nhập, các cuộc tấn công có thể tồn tại trong hệ thống trong thời gian dài mà không bị phát hiện.​

Khuyến nghị bảo mật từ các chuyên gia​

Trước nguy cơ từ các chiến dịch như BlackSanta, các chuyên gia an ninh mạng khuyến nghị doanh nghiệp cần tăng cường bảo mật cho cả những bộ phận không thuộc IT, đặc biệt là phòng nhân sự. Một số biện pháp quan trọng bao gồm:​
  • Không mở các file ISO hoặc LNK nhận từ nguồn không xác định​
  • Sử dụng hệ thống sandbox để kiểm tra tệp đính kèm trước khi mở​
  • Giới hạn quyền chạy PowerShell đối với người dùng thông thường​
  • Theo dõi các hoạt động tải driver bất thường trong hệ thống​
  • Triển khai giải pháp bảo mật có khả năng phát hiện BYOVD và kernel driver abuse​
Bên cạnh đó, các doanh nghiệp cần đào tạo nhân viên HR về nhận diện rủi ro an ninh mạng, vì họ chính là tuyến phòng thủ đầu tiên trong nhiều cuộc tấn công kiểu này. Các cuộc tấn công mạng ngày nay không chỉ dựa vào lỗ hổng kỹ thuật mà còn khai thác quy trình làm việc và hành vi con người. Một bản CV tưởng chừng vô hại có thể trở thành điểm khởi đầu cho một chuỗi tấn công phức tạp nhằm vô hiệu hóa hệ thống bảo mật và đánh cắp dữ liệu doanh nghiệp.​
Theo CyberPress
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Giả mạo Google Meet, hacker dụ người dùng tự chạy lệnh PowerShell độc hại
  • Nhóm hacker “Mysterious Elephant” nhắm mục tiêu vào các cơ quan chính phủ châu Á
  • Hacker giấu mã độc trong blockchain, tấn công người dùng qua website WordPress
  • Hacker lợi dụng Shellter Elite bị rò rỉ để phát tán mã độc đánh cắp thông tin
  • Hacker lợi dụng file ".pif" và vượt qua UAC để lén cài Remcos RAT vào máy nạn nhân
  • Lỗ hổng mới cho phép hacker tấn công DoS MongoDB Server mà không cần đăng nhập
    • Thẻ
    blacksanta byovd social engineering
    Bên trên