Kimsuky APT tiếp tục xây cơ sở hạ tầng tấn công, nhắm nhiều quốc gia trong APAC
An toàn thông tin - Ngày đăng : 16:58, 31/08/2022
Gần 10 năm kể từ khi các chuyên gia Kaspersky vạch mặt một chiến dịch gián điệp mạng đang hoạt động chủ yếu nhắm vào các tổ chức tư vấn của Hàn Quốc, nhóm được nhà nước bảo trợ được mệnh danh là "Kimsuky" tiếp tục cho thấy sự cập nhật đầy đủ các công cụ và chiến thuật để trở thành nạn nhân của các thực thể liên quan đến Triều Tiên.
Chuyên gia cao cấp của Kaspersky đã tiết lộ thêm về những phát hiện của ông về Kimsuky trong Cyber Security Weeekend 8 của Kapersky và trả lời câu hỏi: "Điều gì sẽ xảy ra nếu chúng ta có thể xảy ra một chiều hướng tấn công mạng khác?" Trong số những khám phá mới nhất của vị chuyên gia này là khả năng tác nhân đe dọa APT (Mối đe dọa liên tục nâng cao) mở rộng hoạt động với khả năng dồi dào của nó.
Kimsuky, còn được gọi là Thallium, Black Banshee và Velvet Chollima, đã nằm trong radar của Kaspersky từ năm 2013 và nó được biết là cập nhật rất nhanh các công cụ của mình để che giấu cơ sở hạ tầng và khiến các nhà nghiên cứu bảo mật và hệ thống phân tích tự động khó có được các payload (phần dữ liệu thực sự được truyền đi của một gói tin giữa hai phía).
Kimsuky hiện có 603 trung tâm chỉ huy độc hại
Ông Seongsu Park, Trưởng nhóm Nghiên cứu bảo mật thuộc Nhóm nghiên cứu và phân tích toàn cầu (GReAT) tại Kaspersky, phát hiện ra rằng nhóm khét tiếng đã liên tục cấu hình các máy chủ điều khiển và chỉ huy nhiều giai đoạn (C2) với nhiều dịch vụ lưu trữ thương mại khác nhau trên khắp thế giới.
Máy chủ chỉ huy và kiểm soát là máy chủ giúp kẻ đe dọa kiểm soát phần mềm độc hại của họ và gửi các lệnh độc hại đến các thành viên của nó, điều chỉnh phần mềm gián điệp, gửi payload và hơn thế nữa.
Theo nhà nghiên cứu Park, "Từ chưa đầy 100 máy chủ C2 vào năm 2019, Kimsuky hiện có 603 trung tâm chỉ huy độc hại tính đến tháng 7 năm nay, điều này cho thấy rõ ràng rằng tác nhân đe dọa sẽ tiến hành nhiều cuộc tấn công hơn, có thể vượt ra ngoài bán đảo Triều Tiên. Lịch sử của nó cho thấy rằng các cơ quan chính phủ, các tổ chức ngoại giao, truyền thông và thậm chí cả các doanh nghiệp tiền điện tử ở APAC nên cảnh giác cao độ trước mối đe dọa lén lút này".
Số lượng máy chủ C2 tăng vọt là một phần trong các hoạt động liên tục của Kimsuky tại APAC và hơn thế nữa. Vào đầu năm 2022, nhóm chuyên gia của Kaspersky đã quan sát thấy một làn sóng tấn công khác nhắm vào các nhà báo và các tổ chức ngoại giao và học thuật ở Hàn Quốc.
Được mệnh danh là cụm "GoldDragon", tác nhân đe dọa đã bắt đầu chuỗi lây nhiễm bằng cách gửi một email phân tích có chứa tài liệu Word được nhúng macro. Nhiều ví dụ về các tài liệu Word khác nhau được sử dụng cho cuộc tấn công mới này đã được phát hiện, mỗi tài liệu cho thấy các nội dung mồi nhử khác nhau liên quan đến các vấn đề địa chính trị ở Bán đảo Triều Tiên.
Phân tích sâu hơn cho phép Park khám phá các tập lệnh phía máy chủ liên quan đến cụm GoldDragon, cho phép các chuyên gia lập bản đồ hoạt động C2 của nhóm.
Tác nhân gửi một email lừa đảo trực tuyến cho nạn nhân tiềm năng để tải xuống các tài liệu bổ sung. Nếu nạn nhân nhấp vào liên kết, nó dẫn đến kết nối đến máy chủ C2 ở giai đoạn đầu tiên, với một địa chỉ email làm tham số.
Giai đoạn đầu tiên máy chủ C2 xác minh thông số địa chỉ email đến có phải là thông số mong đợi và gửi tài liệu độc hại nếu nó nằm trong danh sách đích. Kịch bản giai đoạn đầu tiên cũng chuyển tiếp địa chỉ IP của nạn nhân đến máy chủ giai đoạn tiếp theo.
Khi tài liệu đã tìm nạp được mở, nó sẽ kết nối với máy chủ C2 thứ hai.
Tập lệnh tương ứng trên máy chủ C2 thứ hai kiểm tra địa chỉ IP được chuyển tiếp từ máy chủ giai đoạn đầu tiên để kiểm tra xem nó có phải là yêu cầu được mong đợi từ cùng một nạn nhân hay không. Sử dụng lược đồ xác thực IP này, tác nhân xác minh xem yêu cầu đến có phải từ nạn nhân hay không.
Trên hết, nhà điều hành dựa vào một số quy trình khác để phân phối cẩn thận tải trọng tiếp theo, chẳng hạn như kiểm tra loại hệ điều hành và các chuỗi tác nhân người dùng được xác định trước.
Một kỹ thuật đáng chú ý khác mà Kimsuky sử dụng là sử dụng quy trình xác minh của khách hàng để xác nhận đó là nạn nhân có liên quan mà họ muốn xâm phạm. Các chuyên gia Kaspersky thậm chí còn thấy nội dung của các tài liệu giả có nhiều chủ đề khác nhau, bao gồm chương trình nghị sự của "Hội nghị các nhà lãnh đạo châu Á 2022" (2022 Asian Leadership Conference), một hình thức yêu cầu danh dự và sơ yếu lý lịch của một nhà ngoại giao Úc.
Chuyên gia Park cho biết thêm: "Chúng tôi đã thấy rằng nhóm Kimsuky liên tục phát triển các kế hoạch lây nhiễm phần mềm độc hại và áp dụng các kỹ thuật mới để cản trở việc phân tích. Khó khăn trong việc theo dõi nhóm này là rất khó để có được một chuỗi lây nhiễm đầy đủ. Như chúng ta có thể thấy từ nghiên cứu này, gần đây nhất, các tác nhân đe dọa áp dụng phương pháp xác minh nạn nhân trong các máy chủ điều khiển và chỉ huy của họ. Mặc dù gặp khó khăn trong việc lấy các đối tượng phía máy chủ, nhưng nếu chúng tôi phân tích máy chủ của kẻ tấn công và phần mềm độc hại từ phía nạn nhân, chúng tôi có thể hiểu đầy đủ cách các tác nhân đe dọa vận hành cơ sở hạ tầng của chúng và loại kỹ thuật mà chúng sử dụng".
Bảo vệ mạng và hệ thống trước các chiến thuật của Kimsuky
Để bảo vệ hệ thống và mạng khỏi các chiến thuật và kỹ thuật bí mật của Kimsuky, các chuyên gia của Kaspersky đề xuất:Bảo vệ dựa trên ngữ cảnh đầy đủ là chìa khóa; Phòng thủ theo kiểu tấn công diễn ra liên tục.
Các nhóm bảo mật và chuyên gia cần hiểu toàn cảnh về các mối đe dọa; nên có các dịch vụ cung cấp các báo cáo và phân tích chuyên sâu và theo thời gian thực như Cổng thông tin về mối đe dọa của Kaspersky (Kapersky Threat Intelligence Portal).
Bên cạnh đó, cần đa dạng hóa các điểm phòng thủ, hợp tác với các ngành khác và nắm bắt mỗi lĩnh vực có sức mạnh và chuyên môn khác nhau. Hợp tác là điều cần thiết để hiểu được nhiều khía cạnh của các mối đe dọa mạng từ đó cho phép các chiến lược tốt hơn chống lại chúng./.