Tin tặc Triều Tiên nhắm mục tiêu tấn công giả mạo vào Bộ Ngoại giao Nga


Một nhóm gián điệp mạng của Triều Tiên tên Konni được phát hiện có liên quan đến một loạt các cuộc tấn công nhắm vào Bộ Ngoại giao Nga (MID) bằng cách đưa ra những mồi nhử Năm mới nhằm xâm nhập các hệ thống Windows bằng malware.



Trong một bài phân tích chia sẻ với The Hacker News, các nhà nghiên cứu từ Phòng thí nghiệm Black Lotus của Lumen Technologies cho biết : “Nhóm hành vi này thể hiện bản chất kiên nhẫn và bền bỉ của các tác nhân trình độ cao trong việc thực hiện các chiến dịch nhiều giai đoạn nhằm vào các mạng có giá trị lớn.”



Các chiến thuật, kỹ thuật và quy trình (TTP) của nhóm Konni được phát hiện trùng lặp với các tác nhân nguy hại thuộc tổ chức Kimsuky với quy mô lớn hơn. Tổ chức này cũng được cộng đồng an ninh mạng theo dõi với các biệt danh như Velvet Chollima, ITG16, Black Banshee và Thallium.



Các cuộc tấn công gần đây nhất liên quan đến việc tác nhân đó có được quyền truy cập vào các mạng mục tiêu thông qua đánh cắp thông tin đăng nhập, khai thác foothold để tải malware với mục đích thu thập thông tin tình báo. Các dấu hiệu ban đầu của cuộc tấn công đã được MalwareBytes ghi nhận lại từ tháng 7/2021.



Chiến dịch tấn công giả mạo (phishing) được cho là đã tiếp tục diễn ra trong ba đợt – đợt đầu tiên bắt đầu vào ngày 19/10/2021 để thu thập thông tin xác thực từ nhân viên Bộ Ngoại giao Nga, tiếp theo là gửi thông tin với nội dung về COVID-19 vào tháng 11 để dụ người nhận cài đặt phiên bản giả mạo của phần mềm đăng ký tiêm chủng do Nga ủy quyền, phần mềm này đóng vai trò như trình tải cho các payload bổ sung.



Các nhà nghiên cứu nhấn mạnh: “Thời gian diễn ra hoạt động này trùng với việc thông qua luật Hộ chiếu vắc xin của Nga , trong đó quy định người Nga phải nhận được mã QR từ chính phủ chứng minh đã tiêm chủng để có thể vào các địa điểm công cộng như nhà hàng và quán bar.”



Cuộc tấn công thứ ba bắt đầu vào ngày 20/12/2021 đã được Cluster25 chứng thực vào đầu tuần này. Cuộc tấn công này lợi dụng hoạt động lễ hội đêm giao thừa để thực hiện tấn công spear-phishing nhằm kích hoạt một chuỗi lây nhiễm nhiều giai đoạn mà đỉnh điểm là việc cài đặt một trojan truy cập từ xa có tên là Konni RAT .



Cụ thể, các cuộc tấn công diễn ra bằng cách xâm nhập vào tài khoản email của một nhân viên Bộ Ngoại giao Nga trước, sau đó gửi email đến ít nhất hai cơ quan khác của tổ chức này, bao gồm Đại sứ quán Nga tại Indonesia và Sergey Alexeyevich Ryabkov , một thứ trưởng giám sát việc không phổ biến vũ khí và kiểm soát vũ khí.



Email này được gửi với thông điệp “Chúc mừng năm mới”, nhưng có chứa tệp đính kèm bộ bảo vệ màn hình độc hại được thiết kế để truy xuất và chạy các tệp thực thi ở giai đoạn tiếp theo từ một máy chủ từ xa. Giai đoạn cuối cùng của cuộc tấn công là triển khai trojan Konni RAT, tiến hành do thám máy bị nhiễm và lấy thông tin thu thập được trở lại máy chủ từ xa đó.



“Mặc dù đây là một chiến dịch highly targeted, đội ngũ an ninh cần hiểu được khả năng cải tiến của những tác nhân trình độ cao để lây nhiễm cho các mục tiêu,” nhà nghiên cứu cho biết, đồng thời kêu gọi các tổ chức đề phòng các email giả mạo và sử dụng xác thực đa yếu tố để bảo vệ tài khoản.



Theo The Hacker News
The post Tin tặc Triều Tiên nhắm mục tiêu tấn công giả mạo vào Bộ Ngoại giao Nga appeared first on SecurityDaily .

Top News