Được biết, Kimsuky là một nhóm tin tặc được nhà nước bảo trợ có liên quan đến tình báo quân sự Triều Tiên - Tổng cục Trinh sát (RGB).
Vào đầu tháng 2/2024, các nhà nghiên cứu tại công ty tình báo mối đe dọa SW2 (Hàn Quốc) đã báo cáo về một chiến dịch tấn công mạng mà trong đó các tin tặc Kimsuky sử dụng phiên bản trojan hóa của nhiều giải pháp phần mềm khác nhau, ví dụ như TrustPKI và NX_PRNMAN từ SGA Solutions, Wizvera VeraPort, để lây nhiễm mã độc Troll Stealer (hay TrollAgent) và GoBear vào các mục tiêu tại Hàn Quốc.
Các nhà nghiên cứu tại hãng bảo mật Symantec (Mỹ) khi điều tra về chiến dịch tương tự nhắm vào các tổ chức chính phủ Hàn Quốc đã phát hiện ra một công cụ độc hại mới có vẻ là một biến thể Linux của backdoor GoBear.
Backdoor Gomir
Gomir có cấu trúc và nhiều điểm tương đồng với GoBear cũng như có khả năng giao tiếp với máy chủ điều khiển và ra lệnh (C2), cùng cơ chế duy trì và hỗ trợ thực thi nhiều loại lệnh khác nhau.
Sau khi cài đặt, backdoor sẽ kiểm tra giá trị ID group để xác định xem nó có đang thực thi với quyền root trên Linux hay không, sau đó sao chép chính nó vào tệp /var/log/syslogd để duy trì sự tồn tại lâu dài. Tiếp theo, phần mềm độc hại tạo ra một dịch vụ systemd có tên “syslogd” và đưa ra các lệnh khởi động dịch vụ trước khi xóa tệp thực thi và chấm dứt tiến trình ban đầu.
Ngoài ra, các tin tặc đã cố gắng cấu hình lệnh crontab để chạy khi khởi động lại hệ thống bằng cách tạo tệp cron[.]txt trong thư mục làm việc hiện tại. Nếu danh sách crontab được cập nhật thành công, tệp này cũng sẽ bị xóa.
Gomir hỗ trợ tới 17 thao tác, được kích hoạt sau khi nhận lệnh tương ứng từ C2 thông qua các yêu cầu HTTP POST, bao gồm:
- Tạm dừng liên lạc với máy chủ C2.
- Thực thi các lệnh shell tùy ý.
- Báo cáo thư mục làm việc hiện tại.
- Thay đổi thư mục làm việc.
- Thăm dò điểm cuối mạng.
- Chấm dứt tiến trình.
- Báo cáo tên đường dẫn thực thi.
- Thu thập số liệu thống kê về cây thư mục.
- Báo cáo chi tiết cấu hình hệ thống (tên máy chủ, tên người dùng, CPU, RAM, giao diện mạng).
- Cấu hình shell dự phòng để thực thi các lệnh.
- Cấu hình codepage để diễn giải đầu ra lệnh shell.
- Tạm dừng liên lạc cho đến một thời gian cụ thể.
- Trả lời “Not implemented on Linux!”.
- Bắt đầu reverse proxy cho các kết nối từ xa.
- Báo cáo điểm cuối kiểm soát cho reverse proxy.
- Tạo các tệp tin tùy ý trên hệ thống.
- Lọc các tệp tin từ hệ thống.
Theo các nhà nghiên cứu của Symantec, các lệnh trên gần như tương tự với các lệnh được hỗ trợ bởi backdoor GoBear Windows.
Dựa trên phân tích của chiến dịch, các nhà nghiên cứu nhận định rằng các cuộc tấn công chuỗi cung ứng (phần mềm, trình cài đặt trojan, trình cài đặt giả mạo) là phương thức tấn công ưa thích của các tác nhân gián điệp Triều Tiên.
Báo cáo của Symantec bao gồm một tập hợp các chỉ số về sự xâm phạm của nhiều công cụ độc hại được quan sát thấy trong chiến dịch, bao gồm Gomir, Troll Stealer và GoBear dropper.
Nguyễn Ngọc Nguyên
(Tổng hợp)
10:00 | 13/05/2024
11:00 | 26/08/2024
08:00 | 14/06/2024
16:00 | 24/07/2024
07:00 | 17/10/2024
08:00 | 05/11/2024
14:00 | 05/03/2024
07:00 | 21/06/2024
07:00 | 16/01/2024
14:00 | 19/03/2025
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
14:00 | 04/03/2025
Mới đây, một lỗ hổng có mã định danh CVE-2024-52577 có khả năng thực thi mã từ xa đã được phát hiện trong Apache Ignite, một cơ sở dữ liệu phân tán mã nguồn mở phổ biến dành cho điện toán hiệu năng cao.
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
