Ngày 02 tháng 6 năm 2023Ravie LakshmananGián điệp mạng / APT
Các cơ quan tình báo của Hoa Kỳ và Hàn Quốc đã đưa ra một cảnh báo mới về việc các tác nhân mạng của Triều Tiên sử dụng các chiến thuật kỹ thuật xã hội để tấn công các nhóm chuyên gia cố vấn, học viện và các lĩnh vực truyền thông.
“Những nỗ lực thu thập thông tin bền vững” đã được quy cho một cụm do nhà nước bảo trợ có tên là kimsukycòn được biết đến với tên APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), Nickel Kimball và Velvet Chollima.
“Triều Tiên phụ thuộc rất nhiều vào thông tin tình báo thu được từ các chiến dịch lừa đảo này”, các cơ quan này cho biết. “Sự thỏa hiệp thành công của các cá nhân được nhắm mục tiêu cho phép các diễn viên Kimsuky tạo ra các email lừa đảo đáng tin cậy và hiệu quả hơn, có thể được sử dụng để chống lại các mục tiêu nhạy cảm, có giá trị cao.”
Kimsuky đề cập đến một bộ phận phụ trợ trong Tổng cục Trinh sát (RGB) của Triều Tiên và được biết là thu thập thông tin tình báo chiến thuật về các sự kiện địa chính trị và các cuộc đàm phán ảnh hưởng đến lợi ích của chế độ. Nó được biết là hoạt động kể từ ít nhất là năm 2012.
Rob Joyce, Giám đốc An ninh mạng của NSA, cho biết: “Những kẻ tấn công mạng này đang mạo danh các nguồn hợp pháp một cách chiến lược để thu thập thông tin tình báo về các sự kiện địa chính trị, chiến lược chính sách đối ngoại và sự phát triển an ninh mà CHDCND Triều Tiên quan tâm trên Bán đảo Triều Tiên”.
Điều này bao gồm các nhà báo, học giả hàn lâm, nhà nghiên cứu cố vấn và quan chức chính phủ, với mưu mẹo chủ yếu được thiết kế để chọn ra những cá nhân làm việc về các vấn đề của Triều Tiên như chính sách đối ngoại và chuyên gia chính trị.
Các quan chức cho biết, mục tiêu của các chương trình mạng của Kimsuky là giành quyền truy cập bất hợp pháp cũng như cung cấp dữ liệu bị đánh cắp và thông tin chi tiết về địa chính trị có giá trị cho chính phủ Triều Tiên.
Người ta đã quan sát thấy Kimsuky tận dụng thông tin nguồn mở để xác định các mục tiêu quan tâm tiềm năng và sau đó tạo ra các diện mạo trực tuyến của họ để có vẻ hợp pháp hơn bằng cách tạo các địa chỉ email giống với địa chỉ email của những cá nhân thực mà họ tìm cách mạo danh.
Việc sử dụng danh tính giả mạo là một chiến thuật được các nhóm do nhà nước bảo trợ khác áp dụng và được coi là một mánh khóe để lấy lòng tin và xây dựng mối quan hệ với các nạn nhân. Kẻ thù cũng được biết là đã xâm phạm tài khoản email của những cá nhân bị mạo danh để tạo ra các thông điệp email thuyết phục.
“CHDCND Triều Tiên [Democratic People's Republic of Korea] các diễn viên thường sử dụng các tên miền giống với các dịch vụ internet và trang web truyền thông phổ biến để đánh lừa mục tiêu”, theo lời khuyên.
“Các diễn viên Kimsuky điều chỉnh chủ đề của họ theo sở thích của mục tiêu và sẽ cập nhật nội dung của họ để phản ánh các sự kiện hiện tại được thảo luận trong cộng đồng những người theo dõi Triều Tiên.”
Bên cạnh việc sử dụng nhiều diện mạo để liên lạc với mục tiêu, các tên lửa điện tử đi kèm với các tài liệu độc hại được bảo vệ bằng mật khẩu, được đính kèm trực tiếp hoặc được lưu trữ trên Google Drive hoặc Microsoft OneDrive.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Các tệp thu hút, khi được mở, sẽ thúc giục người nhận bật macro, dẫn đến việc cung cấp quyền truy cập cửa sau vào thiết bị thông qua phần mềm độc hại như BabyShark. Ngoài ra, quyền truy cập liên tục được vũ khí hóa để lén lút tự động chuyển tiếp tất cả các email đến hộp thư đến của nạn nhân đến tài khoản email do tác nhân kiểm soát.
Một dấu hiệu nhận biết khác là việc sử dụng “các phiên bản giả mạo nhưng thực tế của các trang web, cổng thông tin hoặc ứng dụng di động thực tế” để thu thập thông tin đăng nhập từ nạn nhân.
Sự phát triển diễn ra vài tuần sau khi công ty an ninh mạng SentinelOne nêu chi tiết việc Kimsuky sử dụng các công cụ tùy chỉnh như ReconShark (phiên bản nâng cấp của BabyShark) và RandomQuery để do thám và đánh cắp thông tin.
Đầu tháng 3 này, các cơ quan chính phủ Đức và Hàn Quốc đã gióng lên hồi chuông cảnh báo về các cuộc tấn công mạng do Kimsuky thực hiện nhằm sử dụng các tiện ích mở rộng giả mạo của trình duyệt để đánh cắp hộp thư đến Gmail của người dùng.
Cảnh báo cũng được đưa ra sau các lệnh trừng phạt do Bộ Tài chính Hoa Kỳ áp đặt đối với bốn thực thể và một cá nhân có liên quan đến các hoạt động mạng độc hại và các kế hoạch gây quỹ nhằm hỗ trợ các ưu tiên chiến lược của Triều Tiên.
