Các Nhóm APT Kimsuky và Konni Dẫn Đầu Các Cuộc Tấn Công Tích Cực Tại Đông Á
Các nhóm tin tặc APT (Advanced Persistent Threat) được nhà nước Bắc Triều Tiên hậu thuẫn, Kimsuky và Konni, đã trở thành những mối đe dọa mạng nổi bật nhất nhắm vào các quốc gia Đông Á. Bài viết này sẽ phân tích chi tiết các kỹ thuật tấn công (TTPs), phương thức khai thác, cùng các khuyến nghị bảo mật để đối phó với các mối đe dọa này.
Tổng Quan Về Chiến Dịch APT
Theo các báo cáo tình báo mối đe dọa mới nhất, Kimsuky và Konni được xác định là những tác nhân đe dọa hoạt động tích cực nhất tại khu vực Đông Á, dẫn đầu các chiến dịch gián điệp mạng tinh vi trong tháng 4 năm 2025. Các mục tiêu không chỉ giới hạn ở các cơ quan chính phủ mà còn mở rộng tới các tổ chức tài chính, nghiên cứu và các nhà thầu quốc phòng. Các cuộc tấn công tập trung chủ yếu vào Hàn Quốc, Nhật Bản và Đài Loan, với một số sự cố được báo cáo tại các quốc gia láng giềng.
Phân Tích Kỹ Thuật
Các nhóm APT này đã cải tiến phương thức tấn công, trong đó spear phishing email là vector truy cập ban đầu chính, chiếm tới 70% tổng số sự cố APT trong giai đoạn được nghiên cứu. Ngoài ra, một số cuộc tấn công cũng tận dụng khai thác lỗ hổng (vulnerability exploitation) và kỹ thuật watering hole để xâm nhập hệ thống.
Thông Tin Về Các Nhóm APT
- Kimsuky: Còn được biết đến với các tên gọi Springtail, ARCHIPELAGO, Black Banshee, Thallium, Velvet Chollima và APT43.
- Konni: Một nhóm APT khác được nhà nước Bắc Triều Tiên hậu thuẫn, thường xuyên sử dụng các kỹ thuật tương tự như Kimsuky.
Chiến thuật, Kỹ thuật và Quy trình (TTPs)
Dựa trên khung MITRE ATT&CK, các TTPs chính của các nhóm này bao gồm:
- Initial Access: Spear phishing (T1059) là phương thức chủ yếu để giành quyền truy cập ban đầu.
- Execution: Triển khai mã độc thông qua các gói cài đặt phần mềm Trojanized.
Backdoor Linux Mới: Gomir
Một phát hiện đáng chú ý trong các chiến dịch gần đây của Kimsuky là việc sử dụng backdoor Linux mới có tên Gomir, được coi là một biến thể của backdoor GoBear. Malware này được phân phối thông qua các gói cài đặt phần mềm Trojanized và chủ yếu nhắm vào các tổ chức tại Hàn Quốc. Gomir chia sẻ phần lớn mã nguồn với GoBear, cho thấy sự phát triển liên tục trong công cụ tấn công của nhóm Kimsuky.
Phương Thức Khai Thác
- Spear Phishing: Là phương pháp chính, nhắm vào các cơ quan chính phủ, tổ chức tài chính, viện nghiên cứu và nhà thầu quốc phòng.
- Vulnerability Exploitation: Một số cuộc tấn công tận dụng các lỗ hổng đã biết hoặc sử dụng kỹ thuật watering hole để xâm nhập.
- Malware Delivery: Phân phối mã độc như Gomir thông qua các gói cài đặt phần mềm giả mạo.
Biện Pháp Khắc Phục
Để giảm thiểu rủi ro từ các mối đe dọa của Kimsuky và Konni, các tổ chức cần áp dụng các biện pháp bảo mật sau:
- Tăng Cường Bảo Mật Email: Triển khai các giải pháp bảo mật email mạnh mẽ để phát hiện và ngăn chặn các cuộc tấn công spear phishing.
- Quản Lý Lỗ Hổng: Thường xuyên cập nhật và vá các lỗ hổng trên hệ thống để ngăn chặn khai thác.
- Đào Tạo Người Dùng: Giáo dục người dùng về nguy cơ của spear phishing và tầm quan trọng của việc xác minh tính xác thực của email trước khi tương tác.
- Xác Minh Phần Mềm: Kiểm tra tính xác thực của các gói cài đặt phần mềm trước khi triển khai, nhằm tránh cài đặt mã độc như Gomir.
Kết Luận
Các nhóm APT Kimsuky và Konni tiếp tục là mối đe dọa nghiêm trọng đối với khu vực Đông Á, với các chiến dịch gián điệp mạng ngày càng tinh vi. Việc sử dụng spear phishing làm vector truy cập chính, kết hợp với các công cụ mới như backdoor Gomir trên Linux, cho thấy sự thích nghi nhanh chóng của các nhóm này. Các tổ chức cần ưu tiên tăng cường bảo mật email, quản lý lỗ hổng và đào tạo người dùng để giảm thiểu nguy cơ bị tấn công.
