-
09/04/2020
-
117
-
1.222 bài viết
GhostCall và GhostHire: Mũi nhọn mới của tin tặc nhắm vào Web3 và Blockchain
Các chuyên gia an ninh mạng vừa phát hiện hai chiến dịch tấn công tinh vi nhắm vào lĩnh vực Web3 và blockchain với tên gọi GhostCall và GhostHire. Cả hai nằm trong chiến dịch rộng lớn hơn mang tên SnatchCrypto, đã được triển khai ít nhất từ năm 2017 và được ghi nhận thuộc nhóm tội phạm mạng Lazarus Group, cụ thể hơn là nhánh BlueNoroff (còn có các tên khác như: APT38, CryptoCore, Genie Spider). Theo các chuyên gia, mục tiêu chính của chiến dịch này là các công ty công nghệ, quỹ đầu tư và các nhà phát triển Web3 ở nhiều quốc gia như Nhật Bản, Úc, Ấn Độ và châu Âu.
Nhóm BlueNoroff được xác định là thủ phạm đứng sau cả hai chiến dịch. GhostCall nhắm vào các thiết bị macOS của lãnh đạo và nhân viên công ty công nghệ, quỹ đầu tư thông qua Telegram, mời họ tham gia các buổi họp đầu tư giả mạo. Trong khi đó, GhostHire nhắm tới các lập trình viên Web3, mời họ ứng tuyển việc làm qua Telegram, rồi gửi mã độc qua kho GitHub giả mạo. Các quốc gia bị ảnh hưởng bao gồm: Nhật Bản, Pháp, Singapore, Thổ Nhĩ Kỳ, Thụy Điển, Ấn Độ và Hồng Kông. Nhật Bản và Úc là những vùng săn “mồi” chính của GhostHire.
GhostCall sử dụng thủ thuật giả lập cuộc gọi Zoom hoặc Microsoft Teams. Nạn nhân được đưa tới trang web giả, khi họ join vào sẽ xem “cuộc gọi thật” (là video ghi từ các nạn nhân trước đó) và sau vài giây trang báo lỗi rồi yêu cầu cập nhật SDK (Zoom/Teams). Khi nạn nhân đồng ý, mã độc AppleScript (trên macOS) hoặc PowerShell (trên Windows) sẽ được tải về và thực thi. Một khi xâm nhập thành công, mã độc sẽ cài ứng dụng giả và tải thêm các payload như DownTroy, CosmicDoor, RooTroy hay RealTimeTroy... Sau đó có thể chiếm quyền điều khiển hệ thống, lấy dữ liệu, thậm chí xóa file.
GhostHire thì gửi ZIP “bài test kỹ năng lập trình” có deadline ngắn (khoảng 30 phút) qua Telegram. Nạn nhân mở ZIP sẽ tải module độc hại từ GitHub, sau đó tùy hệ điều hành, tải script AppleScript, bash hoặc PowerShell để cài mã độc lên máy. Mã độc này điều khiển hệ thống, tải thêm công cụ ngầm và kết nối với máy chủ điều khiển từ xa.
Một khi thiết bị của người dùng đã bị xâm nhập, kẻ tấn công có thể lấy dữ liệu nhạy cảm, tài khoản cloud, ví tiền điện tử, mật khẩu trình duyệt, API giữ vai trò quan trọng. Với các công ty công nghệ và startup, hậu quả còn lớn hơn nữa, như: Rò rỉ dự án, mất quyền lợi, bị ảnh hưởng danh tiếng. Chiến dịch này có mức độ nguy hiểm và ảnh hưởng cao, bởi chúng hoạt động toàn cầu, sử dụng nhiều công cụ và kỹ thuật hiện đại, nhắm vào người không chuyên dễ bị dính bẫy và khó để phát hiện sớm.
Chiến dịch GhostCall và GhostHire cho thấy nhóm tin tặc BlueNoroff đang mở rộng quy mô tấn công sang lĩnh vực Web3 và Blockchain, với mức độ tinh vi cao hơn khi kết hợp lừa đảo xã hội, đa nền tảng (Windows, macOS, Linux) và mã độc tùy biến theo hệ điều hành. Minh chứng là việc nhóm này sử dụng các nền tảng hợp pháp như Zoom, Teams, GitHub, Telegram để phát tán mã độc, đồng thời ứng dụng AI (GPT-4o) để tạo hồ sơ và video giả mạo, khiến nạn nhân khó phát hiện. Các chiến dịch này cho thấy mục tiêu chính là đánh cắp thông tin đăng nhập, dữ liệu phát triển và tài sản số của các tổ chức tài chính, công nghệ.
Các chuyên gia WhiteHat khuyến cáo:
Nhóm BlueNoroff được xác định là thủ phạm đứng sau cả hai chiến dịch. GhostCall nhắm vào các thiết bị macOS của lãnh đạo và nhân viên công ty công nghệ, quỹ đầu tư thông qua Telegram, mời họ tham gia các buổi họp đầu tư giả mạo. Trong khi đó, GhostHire nhắm tới các lập trình viên Web3, mời họ ứng tuyển việc làm qua Telegram, rồi gửi mã độc qua kho GitHub giả mạo. Các quốc gia bị ảnh hưởng bao gồm: Nhật Bản, Pháp, Singapore, Thổ Nhĩ Kỳ, Thụy Điển, Ấn Độ và Hồng Kông. Nhật Bản và Úc là những vùng săn “mồi” chính của GhostHire.
GhostCall sử dụng thủ thuật giả lập cuộc gọi Zoom hoặc Microsoft Teams. Nạn nhân được đưa tới trang web giả, khi họ join vào sẽ xem “cuộc gọi thật” (là video ghi từ các nạn nhân trước đó) và sau vài giây trang báo lỗi rồi yêu cầu cập nhật SDK (Zoom/Teams). Khi nạn nhân đồng ý, mã độc AppleScript (trên macOS) hoặc PowerShell (trên Windows) sẽ được tải về và thực thi. Một khi xâm nhập thành công, mã độc sẽ cài ứng dụng giả và tải thêm các payload như DownTroy, CosmicDoor, RooTroy hay RealTimeTroy... Sau đó có thể chiếm quyền điều khiển hệ thống, lấy dữ liệu, thậm chí xóa file.
GhostHire thì gửi ZIP “bài test kỹ năng lập trình” có deadline ngắn (khoảng 30 phút) qua Telegram. Nạn nhân mở ZIP sẽ tải module độc hại từ GitHub, sau đó tùy hệ điều hành, tải script AppleScript, bash hoặc PowerShell để cài mã độc lên máy. Mã độc này điều khiển hệ thống, tải thêm công cụ ngầm và kết nối với máy chủ điều khiển từ xa.
Một khi thiết bị của người dùng đã bị xâm nhập, kẻ tấn công có thể lấy dữ liệu nhạy cảm, tài khoản cloud, ví tiền điện tử, mật khẩu trình duyệt, API giữ vai trò quan trọng. Với các công ty công nghệ và startup, hậu quả còn lớn hơn nữa, như: Rò rỉ dự án, mất quyền lợi, bị ảnh hưởng danh tiếng. Chiến dịch này có mức độ nguy hiểm và ảnh hưởng cao, bởi chúng hoạt động toàn cầu, sử dụng nhiều công cụ và kỹ thuật hiện đại, nhắm vào người không chuyên dễ bị dính bẫy và khó để phát hiện sớm.
Chiến dịch GhostCall và GhostHire cho thấy nhóm tin tặc BlueNoroff đang mở rộng quy mô tấn công sang lĩnh vực Web3 và Blockchain, với mức độ tinh vi cao hơn khi kết hợp lừa đảo xã hội, đa nền tảng (Windows, macOS, Linux) và mã độc tùy biến theo hệ điều hành. Minh chứng là việc nhóm này sử dụng các nền tảng hợp pháp như Zoom, Teams, GitHub, Telegram để phát tán mã độc, đồng thời ứng dụng AI (GPT-4o) để tạo hồ sơ và video giả mạo, khiến nạn nhân khó phát hiện. Các chiến dịch này cho thấy mục tiêu chính là đánh cắp thông tin đăng nhập, dữ liệu phát triển và tài sản số của các tổ chức tài chính, công nghệ.
Các chuyên gia WhiteHat khuyến cáo:
- Các doanh nghiệp, đặc biệt trong lĩnh vực blockchain và startup công nghệ, cần tăng cường xác thực nguồn liên lạc
- Kiểm tra kỹ liên kết và tệp nhận được từ mạng xã hội hoặc nền tảng tuyển dụng
- Đồng thời triển khai công cụ giám sát Endpoint, EDR
WhiteHat