Các nhà nghiên cứu an ninh mạng đã kết thúc một cuộc tấn công chuỗi cung ứng mới ở Hàn Quốc lạm dụng phần mềm bảo mật hợp pháp và đánh cắp chứng chỉ số để phân phối các công cụ quản trị từ xa (RAT) trên các hệ thống mục tiêu.
Phân bổ hoạt động cho Nhóm Lazarus, còn được gọi là Rắn hổ mang ẩn, Công ty bảo mật internet Slovak ESET nói kẻ đe dọa do nhà nước bảo trợ đã tận dụng yêu cầu bắt buộc rằng người dùng internet trong nước phải cài đặt phần mềm bảo mật bổ sung để sử dụng ngân hàng Internet và các dịch vụ thiết yếu của chính phủ.
Cuộc tấn công, mặc dù có giới hạn về phạm vi, nhưng khai thác WIZVERA VeraPort, được lập hóa đơn là “chương trình được thiết kế để tích hợp và quản lý các chương trình cài đặt liên quan đến ngân hàng internet”, chẳng hạn như chứng chỉ kỹ thuật số do ngân hàng cấp cho các cá nhân và doanh nghiệp để bảo mật tất cả các giao dịch và quy trình các khoản thanh toán.
Đây là diễn biến mới nhất trong lịch sử lâu dài của các cuộc tấn công gián điệp nhằm vào các nạn nhân ở Hàn Quốc, bao gồm Chiến dịch Troy, Tấn công DDoS vào năm 2011, và chống lại tổ chức ngân hàng và trao đổi tiền điện tử trong thập kỷ qua.
Ngoài việc sử dụng kỹ thuật cài đặt phần mềm bảo mật nói trên để phân phối phần mềm độc hại từ một trang web hợp pháp nhưng bị xâm phạm, những kẻ tấn công đã sử dụng chứng chỉ ký mã có được một cách bất hợp pháp để ký vào các mẫu phần mềm độc hại, một trong số đó được cấp cho chi nhánh Hoa Kỳ của một công ty bảo mật của Hàn Quốc tên là Dream Security USA.
“Những kẻ tấn công đã ngụy trang các mẫu phần mềm độc hại Lazarus là phần mềm hợp pháp. Các mẫu này có tên tệp, biểu tượng và tài nguyên tương tự như phần mềm hợp pháp của Hàn Quốc”, nhà nghiên cứu Peter Kálnai của ESET cho biết. “Đó là sự kết hợp của các trang web bị xâm nhập với sự hỗ trợ của WIZVERA VeraPort và các tùy chọn cấu hình cụ thể của VeraPort cho phép những kẻ tấn công thực hiện cuộc tấn công này.”
Tuyên bố rằng các cuộc tấn công nhắm mục tiêu vào các trang web sử dụng VeraPort – tệp này cũng đi kèm với tệp cấu hình XML được mã hóa base64 chứa danh sách phần mềm để cài đặt và các URL tải xuống liên quan của chúng – các nhà nghiên cứu của ESET cho biết các đối thủ đã thay thế phần mềm để được phân phối cho người dùng VeraPort bằng cách xâm phạm một trang web hợp pháp có các tệp nhị phân độc hại sau đó đã được ký bằng các chứng chỉ ký mã có được một cách bất hợp pháp để phân phối tải trọng.
Các nhà nghiên cứu lưu ý: “Các cấu hình WIZVERA VeraPort có một tùy chọn để xác minh chữ ký số của các tệp nhị phân đã tải xuống trước khi chúng được thực thi và trong hầu hết các trường hợp, tùy chọn này được bật theo mặc định”. “Tuy nhiên, VeraPort chỉ xác minh rằng chữ ký điện tử là hợp lệ, mà không kiểm tra xem nó thuộc về ai.”
Sau đó, tệp nhị phân sẽ tiến hành tải xuống một phần mềm nhỏ giọt phần mềm độc hại trích xuất thêm hai thành phần – trình tải và trình tải xuống – thành phần thứ hai được trình tải đưa vào một trong các quy trình Windows (“svchost.exe”). Tải trọng ở giai đoạn cuối mà người tải xuống tìm nạp có dạng RAT được trang bị các lệnh cho phép phần mềm độc hại thực hiện các hoạt động trên hệ thống tệp của nạn nhân và tải xuống và thực thi các công cụ phụ trợ từ kho vũ khí của kẻ tấn công.
Hơn nữa, chiến dịch dường như là sự tiếp nối của một cuộc tấn công khác được gắn trên Lazarus được gọi là Mã sách hoạt động do Cơ quan An ninh & Internet Hàn Quốc chi tiết vào đầu tháng 4 này, với sự chồng chéo đáng kể trong TTP và cơ sở hạ tầng chỉ huy và kiểm soát (C2).
Các nhà nghiên cứu kết luận: “Những kẻ tấn công đặc biệt quan tâm đến các cuộc tấn công chuỗi cung ứng, vì chúng cho phép chúng triển khai lén lút phần mềm độc hại trên nhiều máy tính cùng một lúc”.
“Chủ sở hữu của [websites with VeraPort support] có thể làm giảm khả năng xảy ra các cuộc tấn công như vậy, ngay cả khi các trang web của họ bị xâm phạm, bằng cách bật các tùy chọn cụ thể (ví dụ: bằng cách chỉ định hàm băm của các tệp nhị phân trong cấu hình VeraPort). “
