Được biết, Kimsuky là một nhóm tin tặc được nhà nước bảo trợ có liên quan đến tình báo quân sự Triều Tiên - Tổng cục Trinh sát (RGB).
Vào đầu tháng 2/2024, các nhà nghiên cứu tại công ty tình báo mối đe dọa SW2 (Hàn Quốc) đã báo cáo về một chiến dịch tấn công mạng mà trong đó các tin tặc Kimsuky sử dụng phiên bản trojan hóa của nhiều giải pháp phần mềm khác nhau, ví dụ như TrustPKI và NX_PRNMAN từ SGA Solutions, Wizvera VeraPort, để lây nhiễm mã độc Troll Stealer (hay TrollAgent) và GoBear vào các mục tiêu tại Hàn Quốc.
Các nhà nghiên cứu tại hãng bảo mật Symantec (Mỹ) khi điều tra về chiến dịch tương tự nhắm vào các tổ chức chính phủ Hàn Quốc đã phát hiện ra một công cụ độc hại mới có vẻ là một biến thể Linux của backdoor GoBear.
Backdoor Gomir
Gomir có cấu trúc và nhiều điểm tương đồng với GoBear cũng như có khả năng giao tiếp với máy chủ điều khiển và ra lệnh (C2), cùng cơ chế duy trì và hỗ trợ thực thi nhiều loại lệnh khác nhau.
Sau khi cài đặt, backdoor sẽ kiểm tra giá trị ID group để xác định xem nó có đang thực thi với quyền root trên Linux hay không, sau đó sao chép chính nó vào tệp /var/log/syslogd để duy trì sự tồn tại lâu dài. Tiếp theo, phần mềm độc hại tạo ra một dịch vụ systemd có tên “syslogd” và đưa ra các lệnh khởi động dịch vụ trước khi xóa tệp thực thi và chấm dứt tiến trình ban đầu.
Ngoài ra, các tin tặc đã cố gắng cấu hình lệnh crontab để chạy khi khởi động lại hệ thống bằng cách tạo tệp cron[.]txt trong thư mục làm việc hiện tại. Nếu danh sách crontab được cập nhật thành công, tệp này cũng sẽ bị xóa.
Gomir hỗ trợ tới 17 thao tác, được kích hoạt sau khi nhận lệnh tương ứng từ C2 thông qua các yêu cầu HTTP POST, bao gồm:
- Tạm dừng liên lạc với máy chủ C2.
- Thực thi các lệnh shell tùy ý.
- Báo cáo thư mục làm việc hiện tại.
- Thay đổi thư mục làm việc.
- Thăm dò điểm cuối mạng.
- Chấm dứt tiến trình.
- Báo cáo tên đường dẫn thực thi.
- Thu thập số liệu thống kê về cây thư mục.
- Báo cáo chi tiết cấu hình hệ thống (tên máy chủ, tên người dùng, CPU, RAM, giao diện mạng).
- Cấu hình shell dự phòng để thực thi các lệnh.
- Cấu hình codepage để diễn giải đầu ra lệnh shell.
- Tạm dừng liên lạc cho đến một thời gian cụ thể.
- Trả lời “Not implemented on Linux!”.
- Bắt đầu reverse proxy cho các kết nối từ xa.
- Báo cáo điểm cuối kiểm soát cho reverse proxy.
- Tạo các tệp tin tùy ý trên hệ thống.
- Lọc các tệp tin từ hệ thống.
Theo các nhà nghiên cứu của Symantec, các lệnh trên gần như tương tự với các lệnh được hỗ trợ bởi backdoor GoBear Windows.
Dựa trên phân tích của chiến dịch, các nhà nghiên cứu nhận định rằng các cuộc tấn công chuỗi cung ứng (phần mềm, trình cài đặt trojan, trình cài đặt giả mạo) là phương thức tấn công ưa thích của các tác nhân gián điệp Triều Tiên.
Báo cáo của Symantec bao gồm một tập hợp các chỉ số về sự xâm phạm của nhiều công cụ độc hại được quan sát thấy trong chiến dịch, bao gồm Gomir, Troll Stealer và GoBear dropper.
Nguyễn Ngọc Nguyên
(Tổng hợp)
11:00 | 26/08/2024
16:00 | 24/07/2024
10:00 | 13/05/2024
08:00 | 14/06/2024
07:00 | 17/10/2024
14:00 | 05/03/2024
07:00 | 21/06/2024
07:00 | 16/01/2024
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
