Phát hiện Spyware mới của nhóm tin tặc được nhà nước Triều Tiên bảo trợ


Các chiến dịch gián điệp mạng nhắm vào lĩnh vực hàng không và quốc phòng nhằm cài đặt mã độc giám sát và thu thập dữ liệu trên hệ thống của nạn nhân đang ngày càng tinh vi và phức tạp hơn.



Mới đây, các nhà nghiên cứu đã phát hiện một chiến dịch tấn công nhắm tới địa chỉ IP của một loạt nhà cung cấp dịch vụ internet (ISP) tại Úc, Israel, Nga, và các nhà thầu quốc phòng có trụ sở tại Nga và Ấn Độ. Nhóm tin tặc đứng sau chiến dịch này đã sử dụng một spyware chưa từng được phát hiện trước đây tên là Torisma để lén lút giám sát nạn nhân và duy trì hành vi khai thác độc hại của mình.



Nhóm nghiên cứu của McAfee đã phát hiện hoạt động của chiến dịch này vào tháng 7, và bắt đầu theo dõi nó với tên gọi “ Operation North Star “. Được biết chiến dịch đã lợi dụng các trang mạng xã hội, kỹ thuật lừa đảo spear-phishing, cùng các tài liệu độc hại chứa lời mời làm việc giả mạo để lừa các nhân viên làm việc trong lĩnh vực quốc phòng, nhằm bước đầu xâm nhập vào hệ thống của họ.



Các cuộc tấn công được cho là đã sử dụng cơ sở hạ tầng và các kỹ thuật TTP có liên quan mật thiết tới Hidden Cobra – một thuật ngữ được chính phủ Mỹ sử dụng để mô tả tất cả các nhóm tin tặc do nhà nước Triều Tiên bảo trợ.



Tấn công gián điệp vào các tổ chức quan trọng của quốc gia khác tiếp tục là xu hướng phát triển của các tin tặc tại Triều Tiên. Quốc gia này đã lợi dụng các nhóm tin tặc để tài trợ cho các chương trình vũ khí hạt nhân của mình bằng cách tấn công vào một loạt nhà thầu quốc phòng và hàng không vũ trụ của Mỹ.



Trong khi những phân tích ban đầu cho thấy kẻ tấn công cài đặt spyware nhằm thu thập thông tin cơ bản của nạn nhân và đánh giá giá trị của những thông tin này. Thì cuộc điều tra mới nhất về chiến dịch Operation North Star cho thấy kẻ tấn công đã cải tiến kỹ thuật của mình để giúp mã độc có thể duy trì mà không bị phát hiện trên hệ thống của nạn nhân. 



Những kẻ tấn công không chỉ sử dụng nội dung tuyển dụng hợp pháp từ trang web của các nhà thầu quốc phòng nổi tiếng của Hoa Kỳ để dụ các nạn nhân mở file đính kèm trong email phishing độc hại, mà chúng còn xâm nhập, lợi dụng nhiều trang web chính hãng tại Mỹ và Ý, bao gồm một công ty đấu giá, một công ty in ấn, và một công ty đào tạo CNTT, để lưu trữ và thực hiện các lệnh độc hại từ máy chủ C2.



“Sử dụng các trang web trên để tiến hành các hoạt động C2 cho phép chúng tránh bị phát hiện bởi các giải pháp bảo mật của một số tổ chức, vì hầu hết các tổ chức sẽ không chặn các trang web hợp pháp,” chuyên gia bảo mật Christiaan Beek và Ryan Sherstibitoff của McAfee cho biết.



Hơn nữa, spyware giai đoạn đầu được nhúng trong các tài liệu Word sẽ tiếp tục đánh giá dữ liệu trên hệ thống nạn nhân (ngày, địa chỉ IP, user-agent, v.v.) bằng cách kiểm tra chéo với một danh sách các địa chỉ IP mục tiêu được xác định trước, để cài đặt spyware thứ hai có tên là Torisma, đồng thời giảm thiểu rủi ro bị phát hiện bởi các giải pháp bảo mật.



Spyware giám sát này được dùng để thực thi shellcode tùy chỉnh, bên cạnh việc giám sát các ổ đĩa mới được thêm vào hệ thống cũng như các kết nối đến máy tính từ xa (remote desktop connection).



“Chiến dịch này thú vị ở chỗ nó có hẳn một danh sách cụ thể các mục tiêu cần nhắm đến, và danh sách đó đã được xác minh trước khi nó đưa ra quyết định gửi spyware thứ hai, 32 hoặc 64 bit, nhằm giám sát sâu hơn hệ thống của nạn nhân,” các nhà nghiên cứu nói.



“Quá trình hoạt động của spyware do máy chủ C2 gửi tới còn được theo dõi và ghi lại trong một log file để giúp kẻ tấn công giám sát tổng quát, đồng thời biết được nạn nhân nào đã xâm nhập thành công và có thể giám sát sâu hơn.”



Theo The Hacker News
The post Phát hiện Spyware mới của nhóm tin tặc được nhà nước Triều Tiên bảo trợ appeared first on SecurityDaily .

Top News