Các nhà nghiên cứu khám phá ra Kimusky hồng ngoại nhắm mục tiêu vào các chính trị gia và nhà ngoại giao Hàn Quốc

Kimusky Tin tặc Bắc Triều Tiên

Tập đoàn quốc gia-nhà nước Bắc Triều Tiên Kimusky có liên quan đến một loạt các hoạt động độc hại mới nhằm vào các thực thể chính trị và ngoại giao nằm ở đối tác phía nam của họ vào đầu năm 2022.

Công ty Kaspersky của Nga đặt tên mã cho cụm này Rồng Vàngvới các chuỗi lây nhiễm dẫn đến việc triển khai độc hại Windows được thiết kế cho danh sách tệp, tổ hợp phím của người dùng và thông tin đăng nhập trình duyệt web được lưu trữ.

Trong số các nạn nhân tiềm năng có các giáo sư đại học Hàn Quốc, các nhà nghiên cứu của nhóm nghiên cứu và các quan chức chính phủ.

Kimsuky, còn được gọi là Black Banshee, Thallium và Velvet Chollima, là tên được đặt cho một nhóm đe dọa dai dẳng tiên tiến (APT) của Triều Tiên nhằm vào các thực thể trên toàn cầu, nhưng với trọng tâm chính là Hàn Quốc, để thu thập thông tin tình báo về các chủ đề khác nhau quan tâm đến chế độ.

Được biết là hoạt động từ năm 2012, nhóm này có lịch sử sử dụng các chiến thuật kỹ thuật xã hội, lừa đảo trực tuyến và tấn công lỗ hổng để lấy thông tin mong muốn từ nạn nhân.

Cuối tháng trước, công ty an ninh mạng Volexity đã quy nam diễn viên vào một nhiệm vụ thu thập thông tin tình báo được thiết kế để hút nội dung email từ Gmail và AOL thông qua một tiện ích mở rộng độc hại của trình duyệt Chrome có tên Sharpext.

Xem tiếp:   Apache phát hành bản vá thứ 3 để khắc phục lỗ hổng log4j mới có mức độ nghiêm trọng cao

Chiến dịch mới nhất tuân theo một mô thức hoạt động tương tự, trong đó trình tự tấn công được bắt đầu thông qua các tin nhắn lừa đảo trực tuyến chứa các tài liệu Microsoft Word được nhúng macro có chủ đích đưa ra nội dung liên quan đến các vấn đề địa chính trị trong khu vực.

Kimusky Tin tặc Bắc Triều Tiên

Các tuyến truy cập ban đầu thay thế cũng được cho là lợi dụng các tệp Ứng dụng HTML (HTA) và các tệp Trợ giúp HTML được biên dịch (CHM) làm mồi nhử để xâm phạm hệ thống.

Bất kể phương pháp được sử dụng là gì, truy cập ban đầu được theo sau bằng cách thả Visual Basic Script từ một máy chủ từ xa được điều khiển để lấy dấu vân tay của máy và truy xuất các tải trọng bổ sung, bao gồm một tệp thực thi có khả năng trích xuất thông tin nhạy cảm.

Điểm mới lạ về cuộc tấn công là việc truyền địa chỉ email của nạn nhân đến máy chủ command-and-control (C2) nếu người nhận nhấp vào liên kết trong email để tải xuống các tài liệu bổ sung. Nếu yêu cầu không chứa địa chỉ email mong đợi, một tài liệu lành tính sẽ được trả lại.

Để làm phức tạp thêm chuỗi tiêu diệt, máy chủ C2 giai đoạn đầu tiên chuyển tiếp địa chỉ IP của nạn nhân đến một máy chủ VBS khác, sau đó so sánh nó với một yêu cầu đến được tạo ra sau khi mục tiêu mở tài liệu thu hút.

Xem tiếp:   Tin tặc Triều Tiên nhắm mục tiêu các nhà báo bằng phần mềm độc hại GOLDBACKDOOR

“Phương pháp xác minh nạn nhân” trong hai máy chủ C2 đảm bảo rằng VBScript chỉ được phân phối khi kiểm tra địa chỉ IP thành công, cho thấy một cách tiếp cận được nhắm mục tiêu cao.

Nhà nghiên cứu Seongsu Park của Kaspersky cho biết: “Nhóm Kimsuky liên tục phát triển các kế hoạch lây nhiễm và áp dụng các kỹ thuật mới để cản trở việc phân tích. “Khó khăn chính trong việc theo dõi nhóm này là rất khó để có được một chuỗi lây nhiễm đầy đủ.”

.

Related Posts

Check Also

Tin tặc chủ động khai thác lỗ hổng mới của tường lửa Sophos RCE

Công ty phần mềm bảo mật Sophos đã cảnh báo về các cuộc tấn công …