Bắc Triều Tiên sử dụng bản cập nhật Zoom giả để tấn công người dùng macOS

Bắc Triều Tiên sử dụng bản cập nhật Zoom giả để tấn công người dùng macOS

Kỹ thuật xã hội: "chi phí thấp, khó vá lỗi và dễ dàng mở rộng quy mô"

Theo Microsoft, các tội phạm mạng Bắc Triều Tiên đang nhắm mục tiêu đến người dùng Apple với ý định đánh cắp thông tin xác thực và tiền điện tử. Chúng sử dụng sự kết hợp giữa kỹ thuật xã hội và một bản cập nhật phần mềm Zoom giả mạo để lừa người dùng tự chạy mã độc trên máy tính của mình.

Đội tình báo đe dọa của Microsoft theo dõi nhóm hacker được hậu thuẫn bởi Bình Nhưỡng dưới tên gọi Sapphire Sleet (còn gọi là APT38). Đây là một nhánh của nhóm Lazarus Group, hoạt động ít nhất từ năm 2020 và chủ yếu nhắm vào ngành tài chính để đánh cắp ví tiền điện tử cũng như sở hữu trí tuệ liên quan đến giao dịch tiền mã hóa và nền tảng blockchain.

Chiến thuật tấn công qua kỹ thuật xã hội

Cuộc tấn công bắt đầu bằng kỹ thuật xã hội tinh vi. Nhóm hacker này tạo các hồ sơ tuyển dụng giả trên các nền tảng mạng xã hội và chuyên nghiệp như LinkedIn. Sau đó, chúng liên hệ với các chuyên gia tài chính với các cơ hội việc làm giả mạo trước khi sắp xếp một buổi phỏng vấn kỹ thuật — đây chính là cơ chế phân phối mã độc.

Sherrod DeGrippo, Giám đốc toàn cầu về tình báo đe dọa của Microsoft, chia sẻ với The Register: "Kỹ thuật xã hội cho phép kẻ tấn công đi vòng qua các lớp bảo vệ đã được củng cố bằng cách thuyết phục người dùng hành động thay mặt chúng, biến con người thành lỗ hổng bảo mật. Nó có chi phí thấp, khó vá lỗi và dễ dàng mở rộng quy mô."

Bà thêm rằng: "Người dùng đã được điều kiện để chấp nhận các tương tác hỗ trợ từ xa như tải xuống công cụ, làm theo hướng dẫn, nhấp vào các lời nhắc. Kẻ tấn công khai thác sự quen thuộc này để khiến các hành động độc hại trở nên bình thường, giảm sự hoài nghi của nạn nhân vào thời điểm quan trọng khi bị xâm nhập."

Cơ chế hoạt động của mã độc

Trong chiến dịch mới nhất, Sapphire Sleet gửi cho nạn nhân một lời mời tham gia cuộc họp hỗ trợ Zoom giả. Sau đó, chúng hướng dẫn nạn nhân tải xuống một tệp có tên Zoom SDK Update.scpt. Đây là một tệp AppleScript đã biên dịch, mặc định sẽ mở trong ứng dụng Script Editor của macOS và trông giống như một bản cập nhật SDK Zoom hợp pháp. Tệp này bắt đầu bằng một khối chú thích lớn chứa hướng dẫn cập nhật để tạo vẻ ngoài chân thực.

Dưới nội dung giả mạo, tập lệnh chèn hàng nghìn dòng trống để đẩy logic độc hại xuống dưới vùng có thể cuộn của cửa sổ Script Editor, giảm khả năng nạn nhân phát hiện ra nó.

Đầu tiên, tập lệnh khởi chạy một lệnh gọi đến tệp nhị phân softwareupdate hợp lệ của macOS — nhưng với một tham số không hợp lệ. Về cơ bản, hành động này không làm gì cả nhưng khởi chạy một quy trình đã được ký bởi Apple để làm cho bản cập nhật phần mềm trông có vẻ đáng tin cậy.

Tiếp theo, tập lệnh thực thi tải trọng độc hại của nó thông qua lệnh curl để lấy một AppleScript do kẻ tấn công kiểm soát mới, chạy trực tiếp trong ngữ cảnh của Script Editor và đảm bảo rằng các tải trọng bổ sung được tải xuống và thực thi động.

Microsoft giải thích trong báo cáo: "Khi người dùng mở tệp Zoom SDK Update.scpt, macOS sẽ khởi chạy tệp đó trong Script Editor, cho phép Sapphire Sleet chuyển đổi từ một tệp mồi đơn lẻ sang chuỗi tải trọng được tìm nạp động, nhiều giai đoạn. Từ quy trình duy nhất này, toàn bộ cuộc tấn công diễn ra thông qua chuỗi lệnh curl xếp chồng lên nhau, mỗi lệnh tìm nạp và thực hiện các tải trọng AppleScript ngày càng phức tạp hơn."

Mỗi giai đoạn của chiến dịch cũng lạm dụng các công cụ gốc của Apple hoặc bắt chước quy ước đặt tên của Apple để ngụy trang hoạt động bất hợp pháp. Ví dụ: tệp nhị phân giám sát máy chủ được gọi là com.apple.cli để giúp che giấu tệp thực thi Mach-O 5 MB này bằng quy ước đặt tên kiểu Apple.

Đánh cắp dữ liệu và lẩn trốn

Mỗi chuỗi user agent của curl sẽ tìm nạp một phần mã độc khác nhau phục vụ mục đích riêng trong chuỗi tấn công, từ điều phối và cài cửa sau (backdoor) trên máy của nạn nhân, đến trinh sát và đăng ký hệ thống bị xâm phạm với cơ sở hạ tầng chỉ huy và kiểm soát (C2) của Sapphire Sleet.

Mã độc cũng nhằm vượt qua các biện pháp bảo vệ TCC của macOS và cuối cùng là thu thập thông tin xác thực cũng như exfiltrate (tải ra ngoài) dữ liệu nhạy cảm — bao gồm ví tiền điện tử, lịch sử trình duyệt và thông tin khác, Keychain, Apple Notes và chi tiết đăng nhập Telegram.

Công cụ đánh cắp thông tin xác thực, được phân phối thông qua tải trọng AppleScript thực thi qua osascript, sẽ thả một ứng dụng macOS độc hại có tên systemupdate.app. Nó giả mạo một tiện ích cập nhật phần mềm và khi được khởi chạy, hiển thị hộp thoại mật khẩu gốc của macOS trông rất giống với lời nhắc hệ thống hợp pháp. Hộp thoại yêu cầu người dùng nhập mật khẩu "để hoàn tất cập nhật phần mềm", cho phép Sapphire Sleet có được thông tin xác thực người dùng hợp lệ và exfiltrate chúng bằng cách sử dụng Telegram Bot API.

Ngoài ra, một trong các cửa sau được sử dụng trong chiến dịch này — icloudz — được đặt tên để bắt chước một hiện vật liên quan đến iCloud hợp pháp và cũng sử dụng API NSCreateObjectFileImageFromMemory của macOS để tải các tải trọng bổ sung trực tiếp vào bộ nhớ.

Phản ứng và khuyến nghị

Microsoft đã tiết lộ chiến dịch này cho Apple, và "táo khuyết" kể từ đó đã triển khai "các biện pháp bảo vệ cấp nền tảng để giúp phát hiện và chặn cơ sở hạ tầng cũng như mã độc liên quan đến chiến dịch này".

Theo Microsoft, Apple đã triển khai các biện pháp bảo vệ Apple Safe Browsing trong Safari để phát hiện và chặn cơ sở hạ tầng độc hại liên quan đến chiến dịch này, đồng thời triển khai chữ ký XProtect để phát hiện và chặn các họ mã độc liên kết với Sapphire Sleet. Các thiết bị macOS nhận được các bản cập nhật chữ ký này tự động, vì vậy người dùng không cần làm gì thêm.

Một điều mà các tổ chức có thể làm để bảo vệ người dùng và chính mình khỏi trở thành nạn nhân của chiến dịch này và các chiến dịch kỹ thuật xã hội khác là giáo dục mọi người về các mối đe dọa xuất phát từ LinkedIn và các trang mạng xã hội khác, đặc biệt là các liên lạc không mong muốn yêu cầu người dùng tải xuống phần mềm hoặc cài đặt công cụ họp ảo.

Microsoft cảnh báo: "Người dùng không bao giờ nên chạy các tập lệnh hoặc lệnh được chia sẻ qua tin nhắn, cuộc gọi hoặc trò chuyện nếu không có sự chấp thuận trước từ nhóm IT hoặc bảo mật của họ."