CyberThao
Writer
Chiến dịch tấn công mở rộng mục tiêu
Những tác nhân đe dọa có liên hệ với Triều Tiên vừa bị phát hiện sử dụng chiêu trò ClickFix để phát tán hai phần mềm độc hại: BeaverTail và InvisibleFerret. Theo nghiên cứu của Oliver Smith (GitLab Threat Intelligence), kẻ tấn công nhắm vào các vị trí tiếp thị, giao dịch trong lĩnh vực tiền điện tử và bán lẻ, thay vì chỉ tập trung vào các nhà phát triển phần mềm như trước đây.BeaverTail và InvisibleFerret được phát hiện lần đầu năm 2023 bởi Palo Alto Networks, triển khai trong chiến dịch “Phỏng vấn Lây lan” (Gwisin Gang) – một nhánh của nhóm Lazarus, hoạt động ít nhất từ tháng 12/2022. BeaverTail, viết bằng JavaScript, đóng vai trò công cụ đánh cắp thông tin và tải xuống backdoor InvisibleFerret (dựa trên Python).
Trước đây, BeaverTail từng được phân phối qua gói npm giả mạo, ứng dụng hội nghị trực tuyến như FCCCall, FreeConference. Điểm mới trong đợt tấn công từ tháng 5/2025 là việc sử dụng ClickFix để phát tán BeaverTail dưới dạng tệp nhị phân biên dịch sẵn cho Windows, macOS và Linux.
Một trang web tuyển dụng giả trên Vercel đóng vai trò mồi nhử, quảng bá các vị trí giao dịch và marketing tại nhiều tổ chức Web3. Khi người dùng truy cập, địa chỉ IP bị ghi lại, sau đó được yêu cầu làm video phỏng vấn. Kẻ tấn công tạo lỗi giả về micro và buộc nạn nhân chạy lệnh hệ điều hành, thực chất là cài BeaverTail tinh gọn.
Biến thể mới này chỉ nhắm đến 8 tiện ích mở rộng trình duyệt thay vì 22 như trước, chủ yếu trên Chrome. Đáng chú ý, BeaverTail trên Windows được phát hiện dùng kho lưu trữ Python có mật khẩu – lần đầu tiên kỹ thuật này được áp dụng cho BeaverTail.
Thử nghiệm quy mô nhỏ nhưng nguy hiểm
Theo GitLab, chiến dịch lần này cho thấy sự thay đổi nhỏ về chiến thuật: mở rộng từ nhà phát triển phần mềm sang các vị trí marketing, giao dịch. Các biến thể BeaverTail biên dịch sẵn và cách lạm dụng ClickFix giúp tin tặc dễ tiếp cận nạn nhân ít chuyên môn kỹ thuật hơn.Trước đó, SentinelOne, SentinelLabs và Validin ghi nhận hơn 230 cá nhân bị nhắm mục tiêu từ tháng 1 đến 3/2025, với chiêu phỏng vấn xin việc giả tại các công ty như Archblock, Robinhood, eToro. Tin tặc dùng ứng dụng Node.js độc hại ContagiousDrop để phát tán mã độc, giám sát hoạt động và gửi cảnh báo khi nạn nhân bắt đầu “phỏng vấn giả”.
Ngoài BeaverTail, nhiều nhóm tin tặc Triều Tiên khác cũng tích cực thay đổi chiến lược. ScarCruft (APT37) lần đầu kết hợp ransomware VCD tùy chỉnh bên cạnh các công cụ gián điệp như CHILLYCHINO và FadeStealer. Kimsuky (APT43) bị phát hiện lợi dụng GitHub để phát tán mã độc và thậm chí dùng deepfake tạo thẻ căn cước quân sự giả trong chiến dịch nhắm vào tổ chức quốc phòng Hàn Quốc.
Các chuyên gia an ninh nhận định những thay đổi này phản ánh nỗ lực của tin tặc trong việc đa dạng hóa phương thức, mở rộng mục tiêu và thử nghiệm chiến thuật mới. Điều này cho thấy Triều Tiên tiếp tục đầu tư nguồn lực nhằm duy trì khả năng tấn công mạng trong nhiều lĩnh vực.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/dprk-hackers-use-clickfix-to-deliver.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview