Nhóm hacker Kimsuky mở rộng mạng lưới tấn công trong khu vực APAC

Các chuyên gia Kaspersky tiết lộ hệ thống GoldDragon của Kimsuky nhắm đến các các phương tiện truyền thông, các tổ chức nghiên cứu tại Hàn Quốc

Sau gần 10 năm kể từ khi các chuyên gia của Kaspersky đưa ra ánh sáng chiến dịch gián điệp mạng chủ yếu nhắm vào các tổ chức nghiên cứu của Hàn Quốc, nhóm tin tặc được nhà nước hậu thuẫn được biết đến với tên gọi “Kimsuky” vẫn tiếp tục cập nhật đầy đủ các công cụ và cách thức tấn công các tổ chức liên quan đến Triều Tiên.

Chuyên gia cấp cao của Kaspersky đã công bố thêm những phát hiện của mình, bao gồm việc mối đe dọa này có thể sẽ mở rộng hoạt động với những khả năng hiện nay của chúng. 

Kimsuky, còn được gọi là Thallium, Black Banshee hay Velvet Chollima, đã lọt vào “radar” của Kaspersky từ năm 2013 và được biết đến với khả năng cập nhật nhanh chóng các công cụ nhằm ẩn đi kết cấu của chúng, khiến các nhà nghiên cứu bảo mật và hệ thống phân tích tự động khó nắm bắt được lượng dữ liệu bị truyền đi. 

Seongsu Park, Trưởng nhóm Nghiên cứu Bảo mật của Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky, nhận thấy rằng nhóm tin tặc khét tiếng này đã liên tục định cấu hình các máy chủ điều khiển và kiểm soát (C2) theo nhiều giai đoạn với nhiều dịch vụ lưu trữ khác nhau trên khắp thế giới. 

Máy chủ điều khiển và kiểm soát là máy chủ giúp tác nhân đe dọa kiểm soát phần mềm độc hại của chúng và gửi các lệnh độc hại đến các máy thành viên, điều chỉnh phần mềm gián điệp, gửi dữ liệu, v.v… 

“Từ chưa đầy 100 máy chủ C2 vào năm 2019, Kimsuky đã có 603 trung tâm chỉ huy độc hại tính đến tháng 7 năm nay, điều này cho thấy mối đe dọa sẽ tiến hành nhiều cuộc tấn công hơn, có thể vượt ra ngoài bán đảo Triều Tiên. Lịch sử hoạt động của nó cũng chỉ ra rằng các cơ quan chính phủ, các tổ chức ngoại giao, truyền thông và thậm chí cả các doanh nghiệp tiền điện tử ở châu Á – Thái Bình Dương (APAC) nên cảnh giác cao độ trước mối đe dọa tiềm ẩn này”, ông Park chia sẻ. 

Hệ thống GoldDragon của Kimsuky

Số lượng máy chủ C2 tăng vọt là một phần trong các hoạt động liên tục của Kimsuky tại APAC và hơn thế nữa. Vào đầu năm 2022, nhóm chuyên gia của Kaspersky đã quan sát thấy một làn sóng tấn công khác nhắm vào các nhà báo và các tổ chức ngoại giao, học thuật ở Hàn Quốc. 

Bằng hệ thống máy chủ (server cluster) “GoldDragon”, tác nhân đe dọa đã bắt đầu chuỗi lây nhiễm bằng cách gửi email lừa đảo kèm tài liệu Word được nhúng mã lệnh. Các tài liệu Word khác nhau dùng cho cuộc tấn công mới này đã bị phát hiện chứa những nội dung “mồi nhử” đa dạng liên quan đến vấn đề địa chính trị ở bán đảo Triều Tiên.  

Khi phân tích sâu hơn, ông Park phát hiện các tập lệnh từ máy chủ liên quan đến cụm máy GoldDragon, từ đó thiết lập bản đồ hoạt động C2 của nhóm này. 

1. Kẻ tấn công gửi email lừa đảo trực tuyến cho nạn nhân tiềm năng và yêu cầu họ tải xuống các tài liệu bổ sung. 
2. Nếu nhấp vào liên kết, nạn nhân sẽ được kết nối đến máy chủ C2 ở giai đoạn 1, với một địa chỉ email làm tham số. 
3. Ở giai đoạn 1, máy chủ C2 xác minh tham số địa chỉ email đến có phải là tham số mong đợi hay không và nếu email nằm trong danh sách mục tiêu, máy chủ sẽ gửi gửi tài liệu độc hại. Kịch bản giai đoạn đầu tiên cũng chuyển tiếp địa chỉ IP của nạn nhân đến máy chủ giai đoạn tiếp theo. 
4. Khi tài liệu tìm nạp đã được mở, nó sẽ kết nối với máy chủ C2 thứ hai. 
5. Tập lệnh tương ứng trên máy chủ C2 thứ hai kiểm tra địa chỉ IP được chuyển tiếp từ máy chủ giai đoạn đầu tiên xem có phải là yêu cầu được mong đợi từ cùng một nạn nhân hay không. Sử dụng lược đồ xác thực IP này, kẻ tấn công cũng sẽ xác minh xem yêu cầu có phải đến từ nạn nhân hay không.
6. Trên hết, kẻ điều hành dựa vào một số quy trình khác để phân phối một cách cẩn thận tải trọng tiếp theo, chẳng hạn như kiểm tra loại hệ điều hành và các chuỗi người dùng được xác định trước. 

Một kỹ thuật đáng chú ý khác mà Kimsuky sử dụng là quy trình xác minh để đảm bảo rằng nạn nhân chính là đối tượng chúng nhắm đến. Các chuyên gia Kaspersky thậm chí còn thấy nội dung của các tài liệu giả có nhiều chủ đề khác nhau, bao gồm chương trình nghị sự của “Hội nghị các nhà lãnh đạo châu Á 2022”, mẫu đơn yêu cầu danh dự và sơ yếu lý lịch của một nhà ngoại giao Úc. 

“Chúng tôi nhận thấy rằng nhóm Kimsuky liên tục phát triển các kế hoạch lây nhiễm phần mềm độc hại và áp dụng các kỹ thuật mới để cản trở việc phân tích. Thách thức trong việc theo dõi hoạt động nhóm là rất khó có được đầy đủ một chuỗi lây nhiễm. Như chúng ta có thể thấy từ nghiên cứu này, gần đây nhất, tác nhân đe dọa áp dụng phương pháp xác minh nạn nhân trong các máy chủ điều khiển và điều khiển của chúng.

Mặc dù gặp khó khăn trong việc lấy thông tin từ phía máy chủ, nhưng nếu chúng tôi phân tích máy chủ của kẻ tấn công và phần mềm độc hại từ phía nạn nhân, chúng tôi có thể hiểu đầy đủ cách tác nhân đe dọa vận hành cấu trúc hạ tầng và loại kỹ thuật mà chúng sử dụng”, ông Park cho biết thêm. 

Để bảo vệ hệ thống và mạng khỏi hoạt động bí mật của Kimsuky, các chuyên gia của Kaspersky đề xuất: 

• Bảo vệ toàn diện là chìa khoá
  • Phòng thủ chớp nhoáng không bao giờ hiệu quả
  • Các đội ngũ và chuyên gia bảo mật cần hiểu toàn bộ bối cảnh của các mối đe dọa; nên có các dịch vụ cung cấp các báo cáo và phân tích chuyên sâu và theo thời gian thực như Kaspersky Threat Intelligence Portal
  • Đa dạng điểm phòng thủ 
• Hợp tác đa ngành
  • Mỗi lĩnh vực có sức mạnh và chuyên môn khác nhau 
  • Hợp tác là điều cần thiết để hiểu được nhiều khía cạnh của các mối đe dọa mạng từ đó cho phép các chiến lược tốt hơn chống lại chúng

Đọc toàn bộ báo cáo về Kimsuky tại Securelist.com.