Lừa đảo tuyển dụng IT xuyên biên giới: Cảnh báo mới nhất từ vụ theo dõi Lazarus APT

[Nguyễn Tiến Đạt]

Một cuộc điều tra chung do Mauro Eldritch – nhà sáng lập BCA LTD – phối hợp với nền tảng tình báo mối đe dọa NorthScan và dịch vụ phân tích phần mềm độc hại tương tác ANY.RUN đã vạch trần một trong những chiến dịch xâm nhập dai dẳng nhất của Triều Tiên: mạng lưới nhân sự CNTT làm việc từ xa có liên hệ với bộ phận Famous Chollima thuộc Lazarus Group.

Đây là lần đầu tiên các nhà nghiên cứu quan sát trực tiếp hoạt động của các nhà điều hành nhóm này, ghi lại toàn bộ quá trình họ thao tác trên những chiếc máy tính xách tay mà họ tưởng là máy máy dành cho nhà phát triển. Thực tế, đó là các môi trường sandbox chạy lâu dài, được ANY.RUN toàn quyền kiểm soát.

Quá trình tiếp cận và chiếc “trang trại máy tính xách tay” giả mạo​

Chiến dịch bắt đầu khi Heiner García (NorthScan) đóng vai một nhà phát triển người Mỹ bị một kẻ tuyển dụng Lazarus tiếp cận. Đối tượng này dùng bí danh “Aaron”, còn được biết đến với tên “Blaze”.

Blaze hoạt động như một doanh nghiệp giới thiệu việc làm, cố gắng tuyển một “nhà phát triển giả mạo” để làm người đại diện. Đây là chiến thuật quen thuộc của Chollima nhằm cài cắm nhân sự CNTT Triều Tiên vào các công ty phương Tây, đặc biệt trong tài chính, tiền điện tử, chăm sóc sức khỏe và kỹ thuật.

Mô hình của chiến dịch tuân theo các bước quen thuộc:

• Dùng danh tính bị đánh cắp hoặc đi mượn
• Vượt qua phỏng vấn bằng công cụ AI và câu trả lời chia sẻ sẵn
• Làm việc từ xa trên máy tính xách tay của nạn nhân
• Chuyển toàn bộ tiền lương về CHDCND Triều Tiên

Sau khi Blaze đòi quyền truy cập đầy đủ vào SSN, ID, LinkedIn, Gmail cùng khả năng sử dụng máy tính 24/7, nhóm điều tra chuyển sang giai đoạn giăng bẫy.

Thay vì cấp máy thật, Mauro Eldritch triển khai các máy ảo ANY.RUN Sandbox được cấu hình như trạm làm việc cá nhân: có lịch sử sử dụng, công cụ nhà phát triển và proxy dân dụng đặt tại Hoa Kỳ. Nhờ đó, nhóm có thể kiểm soát sự cố, điều chỉnh kết nối, ghi lại mọi thao tác mà không làm kẻ vận hành nghi ngờ.

Bộ công cụ mà Chollima sử dụng phía sau hậu trường​

Các phiên thử nghiệm trong sandbox đã làm rõ một bộ công cụ gọn nhẹ nhưng rất hiệu quả, tập trung vào chiếm đoạt danh tính và truy cập từ xa – không cần triển khai phần mềm độc hại.

Sau khi đồng bộ hồ sơ Chrome, các nhà điều hành đã cài đặt:

• Công cụ tự động hóa dựa trên AI như Simplify Copilot, AiApply, Final Round AI để điền đơn ứng tuyển và tạo câu trả lời phỏng vấn
• Trình tạo OTP trên trình duyệt (OTP.ee / Authenticator.cc) để vượt qua 2FA khi đã có thông tin danh tính
• Google Remote Desktop cấu hình qua PowerShell với mã PIN cố định để duy trì kiểm soát liên tục
• Lệnh kiểm tra hệ thống (dxdiag, systeminfo, whoami) nhằm xác thực phần cứng và môi trường
• VPN Astrill, vốn nhiều lần xuất hiện trong cơ sở hạ tầng Lazarus

Trong một phiên, kẻ vận hành còn để lại ghi chú trên Notepad yêu cầu “nhà phát triển” tải lên ID, SSN và thông tin ngân hàng – cho thấy mục tiêu thật sự của chiến dịch là chiếm toàn bộ danh tính và quyền truy cập vào máy làm việc mà không cần cài bất kỳ mã độc nào.

Lời cảnh báo dành cho doanh nghiệp và bộ phận tuyển dụng​

Tuyển dụng từ xa đang trở thành một điểm xâm nhập âm thầm nhưng đáng tin cậy cho các cuộc tấn công dựa trên danh tính. Kẻ tấn công tiếp cận từng cá nhân bằng lời mời phỏng vấn hợp lý, rồi lẳng lặng xâm nhập vào hệ thống doanh nghiệp. Khi điều đó xảy ra, rủi ro không chỉ dừng ở một nhân viên: chúng có thể tiếp cận bảng điều khiển nội bộ, dữ liệu nhạy cảm và các tài khoản cấp quản lý, gây ảnh hưởng trực tiếp tới hoạt động kinh doanh.

Vì vậy, nâng cao nhận thức nội bộ và cung cấp một nơi an toàn để xác minh các yêu cầu đáng ngờ là yếu tố quyết định. Điều này có thể giúp ngăn chặn từ sớm thay vì phải xử lý một sự cố xâm nhập toàn diện sau này.(thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview