Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024 | HACKER / MALWARE

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

Những phát hiện này đến từ công ty an ninh mạng DCSO (Đức), công ty đã liên kết hoạt động này có nguồn gốc từ các tác nhân đe dọa tới từ Triều Tiên nhắm vào Nga, trong đó có Bộ Ngoại giao nước này (MID), nêu bật các hoạt động gián điệp mạng đang diễn ra với mục tiêu là các cơ quan trong Chính phủ Nga.

Vào tháng 11/2023, hãng bảo mật Fortinet (Mỹ) cũng đã tiết lộ việc các tin tặc sử dụng tài liệu Microsoft Word bằng tiếng Nga để phát tán phần mềm độc hại có khả năng thu thập thông tin nhạy cảm từ các máy chủ Windows bị xâm nhập.

Phần mềm độc hại Konni RAT

Konni RAT là một công cụ phần mềm độc hại tinh vi mà các tác nhân đe dọa mạng sử dụng để truy cập trái phép vào hệ thống, thực thi lệnh từ xa và đánh cắp dữ liệu nhạy cảm. Được quan sát lần đầu tiên vào năm 2014, Konni RAT có liên quan đến một số chiến dịch tấn công mạng của Triều Tiên, cho thấy việc các tác nhân đe dọa sử dụng phần mềm độc hại này trong các nỗ lực gián điệp mạng. Konni RAT có thể chụp ảnh màn hình, thu thập các lần thao tác gõ phím và đánh cắp dữ liệu, gây ra mối đe dọa đáng kể đối với tính toàn vẹn và bảo mật của các hệ thống bị xâm nhập.

DCSO cho biết việc đóng gói Konni RAT trong trình cài đặt phần mềm là một kỹ thuật đã được nhóm tin tặc Konni áp dụng trước đó vào tháng 10/2023, khi các tin tặc này bị phát hiện lợi dụng một phần mềm kê khai thuế của Nga có tên Spravki BK để phát tán trojan. Trong trường hợp phân phối Konni RAT, backdoor được cài đặt có tên là Statistika KZU (Cтатистика КЗУ).

Hình 1. Giao diện hiển thị của Statistika KZU

Trình cài đặt bị xâm nhập được thiết kế với mục đích sử dụng trong hệ thống mạng nội bộ của MID, đặc biệt để chuyển tiếp các tệp báo cáo hàng năm từ các cơ quan lãnh sự ở nước ngoài (КЗУ — консульские загранучреждения) đến Cục Lãnh sự của MID thông qua một kênh kết nối an toàn.

Trình cài đặt bị trojan hóa là một tệp MSI, khi khởi chạy sẽ bắt đầu trình tự lây nhiễm nhằm thiết lập liên hệ với máy chủ điều khiển và ra lệnh (C2) để chờ hướng dẫn thêm và cho phép lọc dữ liệu nhạy cảm.

Hình 2. Tập lệnh của phần mềm độc hại Konni RAT

Như đã đề cập, Konni RAT có khả năng truyền tệp và thực thi lệnh, được cho là đã hoạt động ít nhất kể từ đầu năm 2014, phần mềm độc hại này đã được các tác nhân đe dọa khác của Triều Tiên như Kimsuky và ScarCruft (còn gọi là APT37) sử dụng trong các chiến dịch tấn công mạng khác nhau.

Sự căng thẳng địa chính trị

Cuộc tấn công mạng này đã phản ánh những căng thẳng địa chính trị đang diễn ra và vai trò của gián điệp mạng trong quan hệ quốc tế. Việc phần mềm độc hại Konni RAT xâm nhập vào phần mềm của Chính phủ Nga nhấn mạnh bối cảnh ngày càng phát triển của các mối đe dọa mạng cũng như tầm quan trọng của các biện pháp cảnh giác và chủ động bảo mật.

Khi các tin tặc được nhà nước bảo trợ ngày càng phát triển các kỹ thuật tấn công mạng, sự hợp tác giữa các chuyên gia và tổ chức bảo mật trở nên đặc biệt quan trọng trong việc giảm thiểu rủi ro do các mối đe dọa phần mềm độc hại tinh vi như Konni RAT gây ra.

Hồng Đạt

(Tổng hợp)

‹ › ×

Tin liên quan

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

NSA cảnh báo tin tặc Triều Tiên khai thác điểm yếu của chính sách DMARC

10:00 | 13/05/2024

NSA và FBI cảnh báo rằng nhóm tin tặc có tên APT43 (có mối liên hệ với Triều Tiên) đã khai thác các chính sách Tuân thủ và báo cáo xác thực thư dựa trên tên miền (DMARC) để che giấu các cuộc tấn công lừa đảo.

Tin tặc Earth Krahang của Trung Quốc xâm nhập 70 tổ chức tại 23 quốc gia

13:00 | 28/03/2024

Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.

Hàn Quốc cáo buộc tin tặc Triều Tiên đánh cắp dữ liệu kỹ thuật của máy bay do thám

11:00 | 26/08/2024

Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.

Các mối đe dọa nhắm mục tiêu tới các cơ quan chính phủ ngày càng gia tăng

17:00 | 02/07/2021

Nghiên cứu mới đây về gian lận trong khu vực công của Cơ quan báo cáo tín dụng tiêu dùng TransUnion Mỹ nhấn mạnh, các vụ việc như chiếm đoạt tài khoản đã làm giảm lòng tin của người dùng vào các dịch vụ di động và trực tuyến của chính phủ.

Tin tặc Triều Tiên triển khai backdoor mới trong các cuộc tấn công mạng nhắm vào Hàn Quốc

11:00 | 29/05/2024

Nhóm tin tặc APT tới từ Triều Tiên có tên Kimsuky đã sử dụng một phần mềm độc hại trên Linux mới có tên Gomir để thực hiện các cuộc tấn công mạng vào các thực thể tại Hàn Quốc. Đây là phiên bản của backdoor GoBear được phân phối thông qua trình cài đặt phần mềm bị trojan hóa.

Tin tặc tấn công hàng loạt cơ quan chính phủ Nga

09:00 | 03/08/2016

Tin tặc tấn công hàng loạt cơ quan chính phủ Nga

Vén màn chiến dịch sử dụng tiện ích độc hại Translatext nhắm vào Hàn Quốc

16:00 | 24/07/2024

Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.

Tin cùng chuyên mục

Cảnh báo 03 lỗ hổng zero-day nguy hiểm của Ivanti CSA đang bị tin tặc khai thác

07:00 | 23/10/2024

Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.

Google vá lỗ hổng zero-day thứ mười trong năm 2024

09:00 | 17/09/2024

Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.

17.000 lỗ hổng mới đe dọa an ninh mạng Việt Nam trong nửa đầu 2024

11:00 | 03/09/2024

Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.

Tăng gấp 30 lần số tài khoản lộ, lọt thông tin ở Việt Nam trong 3 năm

15:00 | 04/08/2024

Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.