Ngày 23 tháng 5 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Nhóm đe dọa dai dẳng tiên tiến (APT) của Bắc Triều Tiên được gọi là kimsuky đã được quan sát bằng cách sử dụng một phần mềm độc hại tùy chỉnh có tên là RandomQuery như một phần của hoạt động do thám và đánh cắp thông tin.
“Gần đây, Kimsuky đã liên tục phân phối phần mềm độc hại tùy chỉnh như một phần của các chiến dịch do thám để kích hoạt các cuộc tấn công tiếp theo”, các nhà nghiên cứu của SentinelOne, Aleksandar Milenkoski và Tom Hegel cho biết trong một báo cáo được công bố hôm nay.
Chiến dịch được nhắm mục tiêu đang diễn ra, theo công ty an ninh mạng, chủ yếu hướng tới các dịch vụ thông tin cũng như các tổ chức hỗ trợ các nhà hoạt động nhân quyền và những người đào thoát khỏi Triều Tiên.
Kimsuky, hoạt động từ năm 2012, có thành tích nổi bật với các tổ chức và cá nhân có lợi ích chiến lược đối với Triều Tiên.
Các nhiệm vụ thu thập thông tin tình báo gần đây có liên quan đến việc sử dụng một công cụ do thám khác có tên là ReconShark, như SentinelOne đã nêu chi tiết vào đầu tháng này.
Cụm hoạt động mới nhất được liên kết với nhóm bắt đầu vào ngày 5 tháng 5 năm 2023 và tận dụng một biến thể của RandomQuery được thiết kế đặc biệt để liệt kê các tệp và hút dữ liệu nhạy cảm.
RandomQuery, cùng với FlowerPower và AppleSeed, là một trong những công cụ được phân phối thường xuyên nhất trong kho vũ khí của Kimsuky, trước đây hoạt động như một công cụ đánh cắp thông tin và một đường dẫn để phân phối các trojan truy cập từ xa như TutRAT và xRAT.
Các cuộc tấn công bắt đầu bằng các email lừa đảo có ý định đến từ Daily NK, một ấn phẩm trực tuyến nổi tiếng có trụ sở tại Seoul chuyên đưa tin về các vấn đề của Triều Tiên, nhằm lôi kéo các mục tiêu tiềm năng mở tệp Trợ giúp HTML do Microsoft biên soạn (CHM).
Điều đáng chú ý ở giai đoạn này là các tệp CHM cũng đã được một diễn viên nhà nước quốc gia Bắc Triều Tiên khác có tên là ScarCruft sử dụng làm mồi nhử.
Việc khởi chạy tệp CHM dẫn đến việc thực thi Tập lệnh Visual Basic đưa ra yêu cầu HTTP GET tới máy chủ từ xa để truy xuất tải trọng giai đoạn hai, một hương vị VBScript của RandomQuery.
Sau đó, phần mềm độc hại tiến hành thu thập siêu dữ liệu hệ thống, các quy trình đang chạy, ứng dụng đã cài đặt và tệp từ các thư mục khác nhau, tất cả đều được truyền trở lại máy chủ chỉ huy và kiểm soát (C2).
Các nhà nghiên cứu cho biết: “Chiến dịch này cũng thể hiện cách tiếp cận nhất quán của nhóm trong việc phân phối phần mềm độc hại thông qua các tệp CHM”.
“Những sự cố này nhấn mạnh bối cảnh luôn thay đổi của các nhóm đe dọa Triều Tiên, những nhóm này không chỉ bao gồm hoạt động gián điệp chính trị mà còn phá hoại và đe dọa tài chính.”
Các phát hiện được đưa ra vài ngày sau khi Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) phát hiện ra một cuộc tấn công lỗ tưới nước do Kimsuky thực hiện, đòi hỏi phải thiết lập một hệ thống email trực tuyến tương tự được sử dụng bởi các viện nghiên cứu chính sách quốc gia để thu thập thông tin xác thực do nạn nhân nhập vào.
Trong một diễn biến liên quan, Kimsuky cũng có liên quan đến các cuộc tấn công vũ khí hóa các máy chủ Windows Internet Information Services (IIS) dễ bị tổn thương để loại bỏ khung sau khai thác Metasploit Meterpreter, sau đó được sử dụng để triển khai phần mềm độc hại proxy dựa trên Go.
