Nhóm hacker Kimsuky tiếp tục mở rộng mạng lưới tấn công

Rate this post

Các chuyên gia của Kaspersky tiết lộ rằng hệ thống GoldDragon của Kimsuky nhắm đến các cơ quan truyền thông và nghiên cứu ở Hàn Quốc.

Gần 10 năm sau khi các chuyên gia Kaspersky đưa ra ánh sáng một chiến dịch gián điệp mạng chủ yếu nhắm vào các cơ quan nghiên cứu của Hàn Quốc, nhóm hacker được nhà nước hậu thuẫn có tên “Kimsuky” tiếp tục cập nhật đầy đủ các công cụ và phương pháp tấn công các tổ chức liên quan đến Triều Tiên.

Chuyên gia cao cấp của Kaspersky đã công bố nhiều phát hiện của mình hơn, bao gồm cả việc mối đe dọa có khả năng mở rộng với khả năng hiện tại của nó.

Kimsuky, còn được gọi là Thallium, Black Banshee hay Velvet Chollima, đã nằm trong “tầm ngắm” của Kaspersky từ năm 2013 và được biết đến với khả năng cập nhật nhanh chóng các công cụ để che giấu kết cấu của chúng, khiến các nhà phát triển hệ thống nghiên cứu bảo mật và phân tích tự động rất khó nắm bắt. lượng dữ liệu được truyền.

Seongsu Park, Trưởng nhóm Nghiên cứu Bảo mật của Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) tại Kaspersky, phát hiện ra rằng nhóm tin tặc khét tiếng này đã liên tục cấu hình các máy chủ điều khiển và kiểm soát (C2). trong các giai đoạn với các dịch vụ lưu trữ khác nhau trên khắp thế giới.

Máy chủ kiểm soát và điều khiển là máy chủ giúp các tác nhân đe dọa kiểm soát phần mềm độc hại của họ và gửi các lệnh độc hại đến các máy thành viên, sửa đổi phần mềm gián điệp, gửi dữ liệu, v.v.

“Từ chưa đầy 100 máy chủ C2 vào năm 2019, Kimsuky đã có 603 trung tâm chỉ huy độc hại tính đến tháng 7 năm nay, điều này cho thấy mối đe dọa phát động nhiều cuộc tấn công hơn, có thể vượt ra ngoài bán đảo Triều Tiên. Lịch sử hoạt động của nó cũng chỉ ra rằng các cơ quan chính phủ, tổ chức ngoại giao, truyền thông và thậm chí cả các doanh nghiệp tiền điện tử ở Châu Á – Thái Bình Dương (APAC) nên cảnh giác cao độ trước mối đe dọa tiềm ẩn này“, Thầy Park chia sẻ.

Số lượng máy chủ Kimsuky được phát hiện bởi Kaspersky

Hệ thống GoldDragon của Kimsuky

Số lượng máy chủ C2 tăng vọt là một phần trong các hoạt động liên tục của Kimsuky tại APAC và hơn thế nữa. Vào đầu năm 2022, nhóm chuyên gia của Kaspersky đã quan sát thấy một làn sóng tấn công khác nhắm vào các nhà báo và các tổ chức ngoại giao và học thuật ở Hàn Quốc.

Sử dụng cụm máy chủ “GoldDragon”, tác nhân đe dọa bắt đầu chuỗi lây nhiễm bằng cách gửi email lừa đảo với tài liệu Word được nhúng. Nhiều tài liệu Word khác nhau được sử dụng cho cuộc tấn công mới này được phát hiện có chứa nhiều mồi nhử khác nhau liên quan đến vấn đề địa chính trị của bán đảo Triều Tiên.

Nội dung “mồi”

Khi phân tích sâu hơn, ông Park đã phát hiện ra các tập lệnh từ máy chủ liên quan đến cụm GoldDragon, từ đó thiết lập bản đồ hoạt động của nhóm C2 này.

C2. kiến trúc máy chủ
  1. Kẻ tấn công gửi một email lừa đảo trực tuyến đến nạn nhân tiềm năng và yêu cầu họ tải xuống các tài liệu bổ sung.
  2. Nếu liên kết được nhấp vào, nạn nhân sẽ được kết nối với máy chủ C2 trong giai đoạn 1, với một địa chỉ email làm tham số.
  3. Trong giai đoạn 1, máy chủ C2 xác minh tham số địa chỉ email đến là tham số mong đợi và nếu email nằm trong danh sách đích, máy chủ sẽ gửi tài liệu độc hại. Kịch bản giai đoạn đầu tiên cũng chuyển tiếp địa chỉ IP của nạn nhân đến máy chủ giai đoạn tiếp theo.
  4. Khi tài liệu tìm nạp đã được mở, nó sẽ kết nối với máy chủ C2 thứ hai.
  5. Tập lệnh tương ứng trên máy chủ C2 thứ hai kiểm tra địa chỉ IP được chuyển tiếp từ máy chủ giai đoạn đầu tiên cho yêu cầu dự kiến ​​từ cùng một nạn nhân. Sử dụng lược đồ xác thực IP này, kẻ tấn công cũng sẽ xác minh xem yêu cầu có phải đến từ nạn nhân hay không.
  6. Trên hết, nhà điều hành dựa vào một số quy trình khác để phân phối cẩn thận trọng tải tiếp theo, chẳng hạn như kiểm tra loại hệ điều hành và chuỗi người dùng được xác định trước.

Một kỹ thuật đáng chú ý khác mà Kimsuky sử dụng là quá trình xác minh để đảm bảo rằng nạn nhân chính xác là người mà họ đang nhắm tới. Các chuyên gia của Kaspersky thậm chí còn tìm thấy nội dung của các tài liệu giả mạo bao gồm nhiều chủ đề khác nhau, bao gồm chương trình nghị sự của “Hội nghị các nhà lãnh đạo châu Á 2022”, các mẫu đơn yêu cầu danh dự và sơ yếu lý lịch. lịch của một nhà ngoại giao Úc.

Chúcủa báttôi nhận hiểu cái đó nàym Kimsuky nói dốiN phong tục phá vỡt phát triển, xây dựng c tiếp theo kế hoạch lay bị lây nhiễm phần mềmối có hại và ahP sử dụng c cẩn thận Mỹ thuật MớiHở?dừng lại trở về Công việc ghế đẩuN củach. Tháng 12ch thức tỉnh Trong Công việc theo đừngtôi hoạt độngChúa ơi nàym được rất khó khăn hiểu rồicó được một đầy đủ Chuỗi lay bị lây nhiễm. Giống Chúcủa mỗi Vâng có thể hiểu từ nghiên cứuN hỗ trợ nàyy, gần đâyy tốt nhất, Vângc NhaNDe đe dọa ahP sử dụng Phượng Hoàngcủa phá vỡP ân xác minh vấn đề NhaN Trong c y chủ nhânĐiều điều khiển kiểm soát họ. Mặc ô gặp khó khăn cái khăn lauN Trong Công việc nhặt thông tin từ phímột y chủ nhân, giốngcủa nếu Chúcủa báttôi ghế đẩuN củach y chủ nhân sau đó các bạntấn Giáo viêncủa phần mềmối có hại từ phímột vấn đề NhaN, Chúcủa báttôi Vâng có thể hiểu biếtVângch Vângc NhaNDe hăm dọa may mắn nh cấu trúc thấp hơn sàn nhà loại hìnhcẩn thận Mỹ thuật nhưng Chúcủa lịch sử sử dụng”, ông Park nói thêm.

Để bảo vệ hệ thống và mạng khỏi hoạt động bí mật của Kimsuky, các chuyên gia Kaspersky khuyến nghị:

Bảo vệ toàn diện

  • Phòng thủ sét không bao giờ hoạt động
  • Các đội bảo mật và các chuyên gia cần hiểu toàn cảnh về các mối đe dọa; nên có các dịch vụ cung cấp các báo cáo và phân tích chuyên sâu và theo thời gian thực, chẳng hạn như Kaspersky Threat Intelligence Portal
  • Các điểm phòng thủ khác nhau

Hợp tác đa ngành

  • Mỗi lĩnh vực có thế mạnh và chuyên môn khác nhau
  • Hợp tác là điều cần thiết để hiểu nhiều khía cạnh của các mối đe dọa mạng để đưa ra các chiến lược tốt hơn chống lại chúng.

Đọc báo cáo đầy đủ về Kimsuky tại Securelist.com.

Thanh Thuy

Leave a Reply

Your email address will not be published.