Truyền thông

BlueNoroff tấn công lãnh đạo doanh nghiệp sử dụng hệ điều hành Windows và macOS

Hạnh Tâm 10/12/2025 10:48

BlueNoroff - một nhánh của nhóm tội phạm mạng Lazarus khét tiếng, đang tiếp tục mở rộng chiến dịch SnatchCrypto đặc trưng của chúng. Đây là chiến dịch được triển khai nhằm thu lợi tài chính, nhắm vào các ngành liên quan đến lĩnh vực tiền mã hoá trên toàn thế giới.

Chiến dịch GhostCall

Tại Hội nghị thượng đỉnh phân tích bảo mật 2025 (Security Analyst Summit) diễn ra ở Thái Lan, nhóm nghiên cứu và phân tích toàn cầu (GReAT) của Kaspersky đã tiết lộ hoạt động mới nhất của nhóm tin tặc APT BlueNoroff thông qua 2 chiến dịch tấn công tinh vi có chủ đích “GhostCall” và “GhostHire”. Các chiến dịch này nhắm vào các tổ chức Web3 và tiền mã hóa tại Ấn Độ, Thổ Nhĩ Kỳ, Úc cùng nhiều nước ở châu Âu và châu Á và đã diễn ra ít nhất từ tháng 4 năm 2025.

Hai chiến dịch GhostCall và GhostHire được cho là sử dụng các kỹ thuật xâm nhập mới cùng phần mềm độc hại được thiết kế riêng, nhằm mục tiêu xâm nhập vào hệ thống của các nhà phát triển và tấn công vào các lãnh đạo cấp cao của những tổ chức, doanh nghiệp về blockchain. Các cuộc tấn công này chủ yếu nhắm vào hệ điều hành MacOS và Windows và được điều phối thông qua một hạ tầng chỉ huy - điều khiển (command-and-control) thống nhất.

Chiến dịch GhostCall tập trung vào thiết bị chạy hệ điều hành MacOS, mở đầu bằng chuỗi tấn công kỹ thuật xã hội (social engineering) sử dụng các chiêu trò đánh vào tâm lý, thao túng cảm xúc vô cùng tinh vi và được cá nhân hóa. Kẻ tấn công tiếp cận nạn nhân qua Telegram, giả danh nhà đầu tư mạo hiểm, thậm chí sử dụng các tài khoản bị chiếm quyền điều khiển của các doanh nhân và nhà sáng lập startup có thật để đề xuất cơ hội đầu tư hoặc hợp tác.

Nạn nhân sau đó được mời tham gia một “cuộc họp đầu tư” trên các trang lừa đảo bắt chước giao diện Zoom hoặc Microsoft Teams. Trong cuộc họp giả mạo này, nạn nhân sẽ được yêu cầu cập nhật ứng dụng để khắc phục lỗi âm thanh. Một khi làm theo, thiết bị sẽ tải về một đoạn mã độc và triển khai phần mềm gián điệp vào thiết bị.

Ông Sojun Ryu, chuyên gia nghiên cứu an ninh mạng tại Kaspersky GReAT cho biết: “Chiến dịch này dựa trên những thủ đoạn lừa đảo được tính toán kỹ lưỡng, có chủ đích. Trong cuộc họp giả mạo, kẻ tấn công còn phát lại video của những nạn nhân trước đó để khiến cuộc gọi trông như thật, từ đó thao túng và đánh lừa nạn nhân mới. Kẻ tấn công không chỉ lợi dụng những dữ liệu thu thập được trong quá trình này để tấn công nạn nhân ban đầu, mà còn khai thác để thực hiện các cuộc tấn công tiếp nối khác. Thậm chí chúng còn sử dụng dữ liệu này để tiến hành tấn công theo chuỗi, lợi dụng mối quan hệ tin cậy đã được thiết lập để xâm nhập vào phạm vi rộng hơn của nhiều tổ chức và người dùng khác.”

Kẻ tấn công đã triển khai tổng cộng bảy chuỗi tấn công theo nhiều bước, bốn chuỗi trong số đó chưa từng được ghi nhận trước đây. Mục đích của kẻ tấn công là phân phối hàng loạt mã độc (payload) tùy chỉnh mới, bao gồm: Công cụ đánh cắp tiền điện tử (crypto stealer), công cụ đánh cắp dữ liệu đăng nhập trình duyệt, công cụ đánh cắp dữ liệu nhạy cảm (secrets stealer) và công cụ đánh cắp thông tin đăng nhập Telegram.

a1(2).png
Cách thức tấn công của một chiến dịch GhostCall

Trong chiến dịch GhostHire, nhóm tấn công chuyên thực hiện chuỗi tấn công kéo dài có chủ đích (APT) này nhắm mục tiêu vào các nhà phát triển blockchain thông qua việc giả danh nhà tuyển dụng. Nạn nhân bị lừa tải xuống và chạy một kho GitHub chứa mã độc, được ngụy trang dưới dạng bài kiểm tra kỹ năng. GhostHire vận hành cùng hạ tầng và công cụ mà GhostCall đang sử dụng, nhưng thay vì dùng cuộc gọi video, nhóm tấn công tập trung tiếp cận trực tiếp các lập trình viên và kỹ sư thông qua kịch bản tuyển dụng giả mạo.

Sau các bước liên hệ ban đầu, nạn nhân sẽ được thêm vào một bot Telegram để nhận một “bài kiểm tra kỹ năng” dưới định dạng ZIP hoặc đường dẫn GitHub kèm thời hạn hoàn thành rất ngắn. Khi nạn nhân mở và chạy nội dung đó, mã độc sẽ tự cài đặt trên máy, được tùy chỉnh phù hợp với hệ điều hành nạn nhân đang dùng.

a2(2).png
Cách thức tấn công của một chiến dịch GhostHire

Việc sử dụng AI tạo sinh (generative AI) đã giúp BlueNoroff tăng tốc quá trình phát triển mã độc và tinh chỉnh các kỹ thuật tấn công. Kẻ tấn công đã bổ sung các ngôn ngữ lập trình mới và thêm nhiều tính năng nhằm gây khó khăn cho quá trình phát hiện và phân tích. AI cũng giúp nhóm tấn công quản lý và mở rộng hoạt động hiệu quả hơn, khiến mức độ tinh vi và phạm vi của các cuộc tấn công càng tăng cao hơn.

Ông Omar Amin, chuyên gia an ninh cấp cao tại Kaspersky GReAT cho biết: “Kể từ các chiến dịch trước, chiến thuật nhắm mục tiêu của nhóm tấn công đã phát triển vượt ra khỏi phạm vi đánh cắp tiền mã hóa hay thông tin đăng nhập trình duyệt. Việc sử dụng AI tạo sinh đã đẩy nhanh quá trình này, giúp chúng phát triển mã độc dễ dàng hơn và giảm chi phí vận hành. Cách tiếp cận dựa trên AI cũng giúp nhóm tấn công lấp đầy những khoảng trống thông tin, từ đó nhắm mục tiêu chính xác hơn. Khi kết hợp dữ liệu bị xâm phạm với khả năng phân tích của AI, phạm vi tấn công được mở rộng đáng kể. Chúng tôi hy vọng nghiên cứu này sẽ góp phần ngăn chặn, giảm bớt thiệt hại.”

Giải pháp bảo vệ

Để bảo vệ mình trước các cuộc tấn công như GhostCall và GhostHire, các tổ chức được khuyến nghị thực hiện những biện pháp sau:

  • Cẩn trọng với các lời mời chào hấp dẫn hoặc đề xuất đầu tư. Luôn xác minh danh tính của bất kỳ liên hệ mới, đặc biệt nếu họ tiếp cận qua Telegram, LinkedIn hoặc các nền tảng mạng xã hội khác. Sử dụng các kênh liên lạc nội bộ đã được xác thực và bảo mật cho những trao đổi có chứa thông tin nhạy cảm.
  • Luôn cân nhắc đến khả năng tài khoản của một người quen đã bị chiếm quyền. Hãy xác minh qua một kênh liên lạc khác trước khi mở bất kỳ tập tin hoặc đường dẫn nào và hãy chắc chắn tên miền mình đang truy cập là đúng tên chính thức. Tránh chạy các đoạn mã (script) hoặc lệnh không được xác minh chỉ để “khắc phục lỗi”.
  • Để bảo vệ doanh nghiệp trước những mối đe dọa khác nhau, hãy sử dụng các giải pháp thuộc dòng sản phẩm Kaspersky Next, cung cấp khả năng bảo vệ theo thời gian thực, giám sát mối đe dọa, điều tra và phản ứng ở cấp độ EDR và XDR cho doanh nghiệp thuộc mọi quy mô và lĩnh vực. Tùy theo nhu cầu và nguồn lực, doanh nghiệp có thể lựa chọn gói sản phẩm phù hợp nhất và dễ dàng nâng cấp, chuyển đổi khi yêu cầu an ninh mạng thay đổi trong tương lai.
  • Sử dụng các dịch vụ Bảo mật được quản lý (Managed Security Services) như Compromise Assessment, Managed Detection and Response (MDR) và/ hoặc Incident Response của Kaspersky. Các dịch vụ này cung cấp giải pháp để giải quyết sự cố từ A-Z: Từ phát hiện mối đe dọa đến bảo vệ liên tục và khắc phục hậu quả, giúp doanh nghiệp chống lại các cuộc tấn công tinh vi, điều tra sự cố và bổ sung chuyên môn, ngay cả khi doanh nghiệp thiếu nhân sự chuyên phụ trách về an ninh mạng.
  • Trang bị cho đội ngũ an ninh thông tin (InfoSec) khả năng quan sát sâu rộng về các mối đe dọa đang nhắm vào tổ chức./.

Hạnh Tâm