Mới đây, Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã trình bày những phát hiện về chiến dịch mới của nhóm tin tặc Lazarus tại Hội nghị thượng đỉnh phân tích bảo mật (SAS). Theo các nhà nghiên cứu của Kaspersky, đây là cuộc tấn công có chủ đích nhằm lây lan phần mềm độc hại qua phần mềm hợp pháp của công ty.
Cụ thể, Nhóm GReAT đã phát hiện một chuỗi các cuộc tấn công mạng, trong đó các mục tiêu bị lây nhiễm qua phần mềm độc hại giả dạng phần mềm hợp pháp, được thiết kế để mã hóa lưu lượng truy cập web bằng chứng thư số (digital certificate). Tuy nhiên, các tổ chức này tiếp tục sử dụng phiên bản phần mềm bị trục trặc ngay cả sau khi các lỗ hổng được phát hiện và vá, điều này tạo cơ hội cho nhóm tin tặc Lazarus tấn công.
Phân tích cho thấy, nhóm tin tặc Lazarus kiểm soát nạn nhân bằng phần mềm độc hại "SIGNBT" và sử dụng những kỹ thuật lẩn trốn tinh vi để tránh bị phát hiện.
Cùng đó, công cụ LPEClient cũng được sử dụng trong chiến dịch này. Trước đây, những kẻ tấn công mạng cũng dùng công cụ này để nhắm mục tiêu vào kỹ sư hạt nhân, nhà thầu quốc phòng và thị trường tiền điện tử. Ngoài việc đóng vai trò là điểm lây nhiễm đầu tiên, phần mềm độc hại này còn thu thập thông tin nhằm lập hồ sơ nạn nhân và phân phối tải trọng. Theo đó, các chuyên gia Kaspersky phát hiện sự tương đồng ở vai trò của LPEClient trong chiến dịch này với cuộc tấn công chuỗi cung ứng 3CX do nhóm tin tặc Lazarus thực hiện.
Các cuộc điều tra sâu hơn cho thấy phần mềm độc hại của nhóm tin tặc Lazarus nhiều lần nhắm đến nhà cung cấp phần mềm. Tần suất các cuộc tấn công diễn ra liên tục cho thấy động cơ phá vỡ chuỗi cung ứng phần mềm và quyết tâm đánh cắp mã nguồn quan trọng của công ty. Theo đó, kẻ tấn công liên tục khai thác các lỗ hổng trong phần mềm của công ty và mở rộng phạm vi lây lan bằng cách nhắm vào các công ty khác sử dụng phiên bản chưa được vá của phần mềm. Giải pháp Kaspersky Endpoint Security đã phát hiện mối đe dọa và đã cung cấp những biện pháp ngăn chặn các cuộc tấn công tiếp theo.
Ông Seongsu Park - Trưởng bộ phận Nghiên cứu Bảo mật thuộc Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky - cho biết: "Các cuộc tấn công liên tục của nhóm tin tặc Lazarus là minh chứng cho việc thay đổi chiến thuật và nỗ lực tấn công của tội phạm mạng. Chúng hoạt động trên quy mô toàn cầu, nhắm mục tiêu vào nhiều ngành công nghiệp với nhiều phương thức hoạt động tinh vi. Điều này cho thấy mối đe dọa vẫn còn hiện hữu và đòi hỏi mọi người sự cảnh giác cao độ".
Để phòng ngừa nguy cơ trở thành nạn nhân của một cuộc tấn công có chủ đích, các nhà nghiên cứu của Kaspersky khuyên người dùng thực hiện một số biện pháp bảo mật cụ thể và cấp thiết.
Theo đó, người dùng cần thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật.
Hãy thận trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Xác minh danh tính người yêu cầu thông tin trước khi chia sẻ dữ liệu cá nhân nào hoặc nhấp vào các liên kết đáng ngờ.
Đặc biệt, cần cấp quyền truy cập về những thông tin tình báo các mối đe dọa mới nhất cho Trung tâm điều hành an ninh (SOC). Kaspersky Threat Intelligence Portal là một điểm truy cập duy nhất của Kaspersky cung cấp thông tin tình báo các mối đe dọa, dữ liệu tấn công mạng và hiểu biết sâu sắc được đội ngũ chúng tôi thu thập trong hơn 20 năm.
Ngoài ra, các tổ chức/doanh nghiệp cần nâng cao chất lượng đội ngũ an ninh mạng để giải quyết các mối đe dọa mới nhất; triển khai các giải pháp phản hồi và phát hiện mối nguy hại tại điểm cuối...