Tin tặc Triều Tiên tăng cường khả năng gián điệp bằng module Kimsuky

Chỉ một tuần sau khi chính phủ Mỹ đưa ra khuyến cáo về “chiến dịch thu thập thông tin tình báo toàn cầu” của nhóm tin tặc được Triều Tiên bảo trợ , các nhà nghiên cứu lại có thêm những phát hiện mới liên quan đến khả năng gián điệp của nhóm tấn công này.



Nhóm APT có tên là “ Kimsuky ” (hay Black Banshee hoặc Thallium), và được cho là đã bắt đầu hoạt động từ đầu năm 2012. Nhóm tin tặc này hiện đang liên kết với ba mã độc chưa từng được ghi nhận trước đây. Bao gồm một phần mềm đánh cắp thông tin, một công cụ có chứa các tính năng chống phân tích mã độc, và một cơ sở hạ tầng máy chủ mới có sự trùng lặp đáng kể với framework gián điệp cũ.



“Nhóm tin tặc khét tiếng này có lịch sử dài liên quan đến các vụ tấn công mạng trên toàn cầu, và chuyên nhắm mục tiêu đến các viện nghiên cứu (think tank) của Hàn Quốc. Tuy nhiên trong vài năm trở lại đây, chúng đã mở rộng phạm vi tấn công sang các quốc gia khác như Mỹ, Nga, và các quốc gia ở châu Âu,” nhóm nghiên cứu của Cybereason cho biết trong một bài phân tích .



Tuần trước, FBI và Bộ Quốc phòng và An ninh Nội địa đã cùng công bố một thông báo mô tả chi tiết các chiến thuật, kỹ thuật và thủ tục ( TTP ) mà Kimsuky sử dụng.



Nhóm APT đã lợi dụng các kỹ thuật tấn công phi kỹ thuật và tấn công lừa đảo spear-phishing để bước đầu xâm nhập vào mạng của nạn nhân. Chúng nổi tiếng với việc nhắm mục tiêu tới các cá nhân cấp cao như các chuyên gia hoạt động trong các viện nghiên cứu, ngành công nghiệp tiền điện tử, và các tổ chức chính phủ của Hàn Quốc. Bên cạnh đó, nhóm tin tặc này còn giả mạo là các nhà báo từ Hàn Quốc để phát tán email độc hại có chứa mã độc BabyShark .



Trong những tháng gần đây, Kimsuky bị phát hiện đang đứng sau một số chiến dịch tấn công lợi dụng sự bất ổn của đại dịch Covid-19 để gửi email lừa đảo tới nạn nhân. Chúng sử dụng email có đính kèm các tài liệu word độc hại để làm véc tơ lây nhiễm nhằm duy trì xâm nhập, và khởi tạo các cuộc tấn công mã độc trên hệ thống của nạn nhân.



“Kimsuky thường tập trung thu thập các thông tin tình báo quan trọng như các chính sách đối ngoại, các vấn đề an ninh quốc gia liên quan đến bán đảo Triều Tiên, chính sách hạt nhân, và các lệnh trừng phạt,” Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết.



Theo Cybereason, nhóm tin tặc hiện đang mở rộng khả năng gián điệp của mình thông qua một bộ modular spyware có tên là “KGH_SPY”. Spyware này cho phép kẻ tấn công giám sát các mạng mục tiêu, thu thập các tổ hợp phím, và đánh cắp nhiều thông tin nhạy cảm khác.



Bên cạnh đó, backdoor KGH_SPY còn có thể tải xuống payload thứ cấp từ một máy chủ C2, thực hiện các lệnh tùy ý thông qua cmd.exe hoặc PowerShell, thậm chí thu thập thông tin đăng nhập từ trình duyệt web, Windows Credential Manager, WINSCP, và email client .



Ngoài ra, các nhà nghiên cứu cũng phát hiện ra một mã độc mới có tên “CSPY Downloader”. Nó được thiết kế để cản trở việc phân tích mã độc và tải xuống các payload bổ sung.



Cuối cùng, các nhà nghiên cứu Cybereason đã phát hiện một cơ sở hạ tầng mới được đăng ký từ năm 2019-2020. Cơ sở hạ tầng này có nhiều điểm trùng lặp với mã độc BabyShark trước đó của nhóm tin tặc, và từng được sử dụng để tấn công các viện nghiên cứu có trụ sở tại Hoa Kỳ .



“Nhóm tin tặc đã đầu tư nhiều công sức để thoát khỏi tầm ngắm của các cơ quan chức năng. Chúng sử dụng nhiều kỹ thuật chống phân tích mã độc khác nhau, bao gồm kỹ thuật lùi thời gian tạo/biên dịch các mẫu mã độc đến năm 2016, làm xáo trộn code, anti-VM , và anti-debugging,” các nhà nghiên cứu cho biết.



“Mặc dù cho tới hiện tại, vẫn chưa có thông tin chính thức về danh tính của các nạn nhân, nhưng từ những manh mối có được có thể thấy cơ sở hạ tầng của chiến dịch này đã nhắm mục tiêu tới các tổ chức có chức năng chính là xử lý các vụ vi phạm nhân quyền.”



Theo The Hacker News
The post Tin tặc Triều Tiên tăng cường khả năng gián điệp bằng module Kimsuky appeared first on SecurityDaily .