Được biết, Kimsuky là một nhóm tin tặc được nhà nước bảo trợ có liên quan đến tình báo quân sự Triều Tiên - Tổng cục Trinh sát (RGB).
Vào đầu tháng 2/2024, các nhà nghiên cứu tại công ty tình báo mối đe dọa SW2 (Hàn Quốc) đã báo cáo về một chiến dịch tấn công mạng mà trong đó các tin tặc Kimsuky sử dụng phiên bản trojan hóa của nhiều giải pháp phần mềm khác nhau, ví dụ như TrustPKI và NX_PRNMAN từ SGA Solutions, Wizvera VeraPort, để lây nhiễm mã độc Troll Stealer (hay TrollAgent) và GoBear vào các mục tiêu tại Hàn Quốc.
Các nhà nghiên cứu tại hãng bảo mật Symantec (Mỹ) khi điều tra về chiến dịch tương tự nhắm vào các tổ chức chính phủ Hàn Quốc đã phát hiện ra một công cụ độc hại mới có vẻ là một biến thể Linux của backdoor GoBear.
Backdoor Gomir
Gomir có cấu trúc và nhiều điểm tương đồng với GoBear cũng như có khả năng giao tiếp với máy chủ điều khiển và ra lệnh (C2), cùng cơ chế duy trì và hỗ trợ thực thi nhiều loại lệnh khác nhau.
Sau khi cài đặt, backdoor sẽ kiểm tra giá trị ID group để xác định xem nó có đang thực thi với quyền root trên Linux hay không, sau đó sao chép chính nó vào tệp /var/log/syslogd để duy trì sự tồn tại lâu dài. Tiếp theo, phần mềm độc hại tạo ra một dịch vụ systemd có tên “syslogd” và đưa ra các lệnh khởi động dịch vụ trước khi xóa tệp thực thi và chấm dứt tiến trình ban đầu.
Ngoài ra, các tin tặc đã cố gắng cấu hình lệnh crontab để chạy khi khởi động lại hệ thống bằng cách tạo tệp cron[.]txt trong thư mục làm việc hiện tại. Nếu danh sách crontab được cập nhật thành công, tệp này cũng sẽ bị xóa.
Gomir hỗ trợ tới 17 thao tác, được kích hoạt sau khi nhận lệnh tương ứng từ C2 thông qua các yêu cầu HTTP POST, bao gồm:
- Tạm dừng liên lạc với máy chủ C2.
- Thực thi các lệnh shell tùy ý.
- Báo cáo thư mục làm việc hiện tại.
- Thay đổi thư mục làm việc.
- Thăm dò điểm cuối mạng.
- Chấm dứt tiến trình.
- Báo cáo tên đường dẫn thực thi.
- Thu thập số liệu thống kê về cây thư mục.
- Báo cáo chi tiết cấu hình hệ thống (tên máy chủ, tên người dùng, CPU, RAM, giao diện mạng).
- Cấu hình shell dự phòng để thực thi các lệnh.
- Cấu hình codepage để diễn giải đầu ra lệnh shell.
- Tạm dừng liên lạc cho đến một thời gian cụ thể.
- Trả lời “Not implemented on Linux!”.
- Bắt đầu reverse proxy cho các kết nối từ xa.
- Báo cáo điểm cuối kiểm soát cho reverse proxy.
- Tạo các tệp tin tùy ý trên hệ thống.
- Lọc các tệp tin từ hệ thống.
Theo các nhà nghiên cứu của Symantec, các lệnh trên gần như tương tự với các lệnh được hỗ trợ bởi backdoor GoBear Windows.
Dựa trên phân tích của chiến dịch, các nhà nghiên cứu nhận định rằng các cuộc tấn công chuỗi cung ứng (phần mềm, trình cài đặt trojan, trình cài đặt giả mạo) là phương thức tấn công ưa thích của các tác nhân gián điệp Triều Tiên.
Báo cáo của Symantec bao gồm một tập hợp các chỉ số về sự xâm phạm của nhiều công cụ độc hại được quan sát thấy trong chiến dịch, bao gồm Gomir, Troll Stealer và GoBear dropper.
Nguyễn Ngọc Nguyên
(Tổng hợp)
10:00 | 13/05/2024
11:00 | 26/08/2024
08:00 | 14/06/2024
16:00 | 24/07/2024
07:00 | 17/10/2024
08:00 | 05/11/2024
14:00 | 05/03/2024
07:00 | 21/06/2024
07:00 | 16/01/2024
08:00 | 29/01/2025
Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.
14:00 | 24/01/2025
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
09:00 | 23/01/2025
Mới đây, các chuyên gia an ninh mạng đã phát đi cảnh báo liên quan đến chiến dịch lừa đảo trên nền tảng nhắn tin, gọi điện miễn phí và được mã hóa 2 chiều Signal.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025