 |
Terdapat kempen serangan siber baharu yang menyasarkan perniagaan di Vietnam. Gambar ilustrasi: Bloomberg. |
Penyelidik keselamatan di SEQRITE Labs telah menemui kempen serangan siber yang canggih. Digelar "Pencuri Operasi Hanoi", kempen itu menyasarkan jabatan IT dan agensi pengambilan di Vietnam dengan menyamar CV.
Pertama kali ditemui pada 3 November, penggodam menggunakan teknik menyebarkan perisian hasad dengan menyamar sebagai CV permohonan kerja. Matlamat penyerang adalah untuk menyusup ke rangkaian dalaman, mengambil alih sistem dan mencuri data pelanggan dan rahsia perniagaan.
Cara perisian hasad berfungsi
Menurut pakar keselamatan, penyerang menghantar satu siri e-mel dengan permohonan kerja, melampirkan fail "Le Xuan Son CV.zip". Apabila dibuka zip, ia mengandungi dua fail, satu bernama "CV.pdf.lnk", satu lagi bernama "offsec-certified-professional.png".
Kerana ia menyamar sebagai ikon PDF dan PNG, pengguna mungkin tersalah anggap ini sebagai fail CV biasa. Apabila diklik, fail tersebut akan mengaktifkan virus LOTUSHARVEST, yang pakar dalam mengumpul maklumat kata laluan, sejarah akses... dan kemudian menghantarnya ke pelayan penggodam.
Menurut GBHackers , CV palsu bernama Le Xuan Son dari Hanoi telah mempunyai akaun GitHub sejak 2021. Walau bagaimanapun, penyelidik mendapati bahawa akaun ini tidak menyiarkan sebarang maklumat, kemungkinan besar hanya untuk menyampaikan kempen serangan.
Serangan berlangsung dalam tiga peringkat. Selepas membuka fail LNK, ia mencetuskan arahan khas melalui alat ftp.exe terbina dalam Windows. Ini adalah teknik lama dan bukan lagi biasa yang membolehkan perisian hasad memintas kawalan asas.
 |
Penggodam menipu perniagaan dengan menghantar CV di bawah nama "Le Xuan Son". Foto: SEQRITE . |
Dalam fasa 2, sistem masih tertipu dengan menganggap ini adalah fail PDF atau teks biasa. Walau bagaimanapun, selepas analisis lanjut, para penyelidik mendapati bahawa kod berniat jahat telah dimasukkan tersembunyi sebelum permulaan fail PDF.
Perisian hasad segera berfungsi, menamakan semula alat certutil.exe yang tersedia dalam Windows untuk mengelakkan pengesanan dan mengekstrak data yang mengandungi pakej fail berniat jahat terakhir. Baris arahan terus menamakan semula fail kepada "CV-Nguyen-Van-A.pdf" untuk menipu sistem, kemudian mengekstrak dan menyahsulit fail bernama "MsCtfMonitor.dll", meletakkannya dalam folder C:\ProgramData.
Dengan menyalin fail ctfmon.exe dari System32 ke folder yang sama, penyerang mengeksploitasi teknik rampasan DLL, menyebabkan sistem menjalankan fail berniat jahat dan bukannya program biasa.
Akhirnya, perisian hasad LOTUSHARVEST diaktifkan untuk mencuri maklumat. Data ini termasuk maklumat log masuk pada penyemak imbas Chrome dan Edge, bersama-sama dengan 20 URL yang paling baru dilawati, termasuk metadata berkaitan.
Data yang dicuri dihantar melalui API WinINet Windows ke infrastruktur penggodam. Perisian ini juga menambah nama komputer dan nama pengguna untuk membuat profil identiti pada pelayan.
Perniagaan Vietnam perlu mengukuhkan perlindungan
Perkara yang membimbangkan dalam kempen serangan ialah LOTUSHARVEST mempunyai keupayaan untuk menyembunyikan dirinya dan beroperasi sendiri. Malware mengambil kesempatan daripada mekanisme pemuatan perpustakaan untuk mengekalkan kawalan jangka panjang dan mengakses akaun dan data sensitif, di luar perlindungan langkah keselamatan konvensional.
Menurut penilaian, data yang dicuri boleh menjadi "kunci" bagi penggodam untuk mengembangkan penembusan mereka, menggunakan alat berbahaya dan menjadikan perniagaan sebagai sasaran serangan berbilang lapisan atau pemerasan dalam peringkat seterusnya.
“Setiap petunjuk menunjukkan bahawa kempen Hanoi Thief telah dirancang dengan teliti, menyasarkan perniagaan Vietnam secara langsung.
Mengambil kesempatan daripada jabatan pengambilan, yang kerap menerima permohonan dari luar tetapi tidak dilengkapi sepenuhnya dengan kesedaran keselamatan siber, penggodam menggunakan fail palsu dalam bentuk CV atau dokumen dan boleh terus berubah menjadi banyak variasi, menjadikan risiko jangkitan tidak dapat diramalkan," kata Encik Nguyen Dinh Thuy, Pakar Analisis Perisian Hasad di Bkav.
 |
Skrip mengekstrak log masuk dan sejarah akses perisian hasad. Foto: SEQRITE . |
Menurut Bkav, terdapat perusahaan Vietnam yang menjadi mangsa kempen serangan itu. Disebabkan sifat berbahaya LOTUSHARVEST dan kempen Hanoi Thief, pengguna perlu sangat berhati-hati dengan dokumen yang diterima melalui e-mel.
Perniagaan dan organisasi perlu kerap menjalankan latihan berkala untuk pekerja, meningkatkan kesedaran dan kewaspadaan terhadap helah penipuan dalam talian. Sistem pemantauan dalaman perlu diperkukuh, memantau perpustakaan luar biasa atau fail yang mencurigakan.
Alat lalai pada sistem pengendalian hanya memenuhi keperluan perlindungan asas, tidak cukup untuk melawan perisian hasad dan virus moden yang boleh bersembunyi, berterusan untuk masa yang lama dan menembusi jauh ke dalam sistem. Oleh itu, adalah perlu untuk memasang sistem pemantauan e-mel dan menggunakan perisian anti-virus berlesen untuk perlindungan terbaik.
Sumber: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html
![[Foto] Pengerusi Dewan Negara Tran Thanh Man menghadiri Majlis Anugerah VinFuture 2025](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F05%2F1764951162416_2628509768338816493-6995-jpg.webp&w=3840&q=75)
![[Foto] Ulang Tahun Ke-60 Penubuhan Persatuan Artis Fotografi Vietnam](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F05%2F1764935864512_a1-bnd-0841-9740-jpg.webp&w=3840&q=75)
Komen (0)