Một vụ rò rỉ dữ liệu hiếm hoi, được cho là có liên quan đến một nhóm tác nhân đe dọa mạng Bắc Triều Tiên, do kẻ rò rỉ đặt tên là “Kim”, đã hé lộ những thông tin chưa từng có về hoạt động của nhóm Kimsuky (APT43).
Phân tích Sâu rộng về Hoạt động của Kimsuky (APT43) và Các Cuộc Tấn công Mạng
Dữ liệu rò rỉ, được mệnh danh là “Kim” dump, có dung lượng 9 GB, bao gồm lịch sử bash đang hoạt động, tên miền lừa đảo, quy trình làm việc OCR, các stager tùy chỉnh và bằng chứng về rootkit Linux. Những tiết lộ này cho thấy một chiến dịch lai do Kimsuky thực hiện, sử dụng các công cụ và cơ sở hạ tầng tiếng Trung để nhắm mục tiêu vào các mạng của Hàn Quốc và Đài Loan.
Vụ rò rỉ này làm nổi bật một mô hình xâm nhập tập trung vào việc đánh cắp thông tin xác thực, nhắm vào các hệ thống PKI của chính phủ, các cuộc tấn công lừa đảo AiTM (Adversary-in-the-Middle) nâng cao và duy trì quyền truy cập sâu vào hệ thống. Đây là một ví dụ điển hình về mối đe dọa mạng dai dẳng nâng cao.
Phát triển Mã độc Tương tác
Các tệp lịch sử terminal chứng minh tác nhân Kimsuky đã thực hiện quá trình tạo mã độc ngay lập tức bằng NASM để phát triển shellcode cấp thấp. Các lệnh biên dịch và dọn dẹp lặp đi lặp lại chứng tỏ phương pháp tiếp cận thủ công này, nhấn mạnh quy trình làm việc của một bộ tải và công cụ tiêm mã tùy chỉnh được nhóm sử dụng.
nasm -f elf64 shellcode.asm -o shellcode.o
ld shellcode.o -o exploit
./exploit
rm shellcode.o exploitTrinh sát Dựa trên OCR
Các lệnh OCR đã xử lý các tệp PDF tiếng Hàn về tiêu chuẩn PKI và cấu hình VPN. Bằng cách thực thi lệnh ocrmypdf -l kor+eng đối với các tài liệu như 행정전자서명_기술요건_141125.pdf, tác nhân Kimsuky đã trích xuất dữ liệu chứng chỉ và cấu hình mạng để thực hiện giả mạo danh tính và thông tin xác thực.
Nhật ký Quản lý Truy cập Đặc quyền (PAM)
Các mục nhật ký PAM được gắn thẻ 변경완료 (“thay đổi hoàn tất”) cho thấy việc luân chuyển có hệ thống các tài khoản có đặc quyền cao như oracle, svradmin, và app_adm01. Điều này chỉ ra quyền truy cập backend được duy trì liên tục bởi nhóm Kimsuky trong các cuộc tấn công mạng của họ.
Cơ sở hạ tầng Lừa đảo Tinh vi
Một mạng lưới các tên miền giả mạo (ví dụ: nid-security[.]com, webcloud-notice[.]com, koala-app[.]com) đã được sử dụng để bắt chước các cổng thông tin chính phủ Hàn Quốc. Các tên miền này triển khai proxy AiTM để thu thập thông tin xác thực theo thời gian thực. Các email dùng một lần (ví dụ: jeder97271[@]wuzak[.]com) đã tạo điều kiện thuận lợi cho việc thu thập thông tin xác thực một cách lén lút trong chiến dịch của Kimsuky.
Các trang web giả mạo tinh vi hơn đã được phát hiện, mô phỏng các cơ quan chính phủ chính thức như dcc.mil[.]kr, spo.go[.]kr và mofa.go[.]kr.
Cấy ghép Rootkit Linux
Dữ liệu rò rỉ chứa một rootkit ẩn (vmmisc.ko) sử dụng kỹ thuật hooking syscall và các kênh bí mật. Nó được cài đặt trong thư mục /usr/lib64/tracker-fs/, có khả năng ẩn các tệp, tiến trình và cổng mạng. Rootkit này còn cung cấp proxy SOCKS5, các shell backdoor PTY và các phiên điều khiển được mã hóa thông qua một tệp nhị phân client được bảo vệ bằng mật khẩu, là một công cụ quan trọng trong bộ sưu tập của Kimsuky.
Trinh sát Mở rộng sang Đài Loan
Nhật ký mạng cho thấy quyền truy cập có mục tiêu vào các địa chỉ IP của chính phủ và học viện Đài Loan (các tên miền .tw và thu thập thông tin trực tiếp từ .git). Điều này chỉ ra hoạt động trinh sát chuỗi cung ứng nhằm vào các kho lưu trữ nội bộ và cổng xác thực đám mây của Đài Loan.
Ngoài Hàn Quốc, tác nhân Kimsuky còn thăm dò các cổng thông tin doanh nghiệp Đài Loan (tw.systexcloud[.]com, mlogin.mdfapps[.]com) và các kho lưu trữ .git (caa.org[.]tw). Điều này báo hiệu một nhiệm vụ gián điệp khu vực mở rộng, thâm nhập chuỗi cung ứng và đánh cắp thông tin xác thực, tăng cường mối đe dọa mạng trong khu vực.
Thống trị Thông tin Xác thực và Thỏa hiệp PKI
Trọng tâm của chiến dịch là việc đánh cắp chứng chỉ GPKI (ví dụ: 136백운규001_env.key) và mật khẩu dạng văn bản thuần túy, cho phép giả mạo danh tính trên các hệ thống chính phủ Hàn Quốc. Ngôn ngữ chính sách được trích xuất bằng OCR và nhật ký PAM xác nhận chiến lược thu thập thông tin xác thực, lạm dụng chứng chỉ và duy trì quyền truy cập cấp nội bộ của nhóm Kimsuky.
Dấu vết Lai DPRK–PRC
Các tạo phẩm tiếng Hàn được bản địa hóa và cài đặt hệ thống UTC+9 cho thấy nguồn gốc từ DPRK (Bắc Triều Tiên). Tuy nhiên, việc sử dụng rộng rãi các nền tảng Trung Quốc (Gitee, Baidu, Zhihu) và hành vi duyệt web bằng tiếng Trung giản thể cho thấy hoạt động thực tế diễn ra tại Trung Quốc hoặc được hỗ trợ bởi cơ sở hạ tầng của PRC (Trung Quốc). Sự kết hợp này khuếch đại phạm vi tiếp cận và làm phức tạp việc quy trách nhiệm cho mối đe dọa mạng này.
Duy trì Quyền truy cập Lâu dài
Việc biên dịch shellcode thủ công, triển khai rootkit và lừa đảo AiTM phản ánh sự kết hợp giữa các chiến thuật truyền thống và sự lừa dối hiện đại. Sự ngụy trang văn hóa của tác nhân Kimsuky – được nhúng trong các tạo phẩm truyền thông xã hội Trung Quốc – càng che giấu danh tính thực sự và cho phép tạo ra các mồi nhử đáng tin cậy hơn.
Chỉ số Thỏa hiệp (IOCs)
Dựa trên phân tích vụ rò rỉ, các chỉ số thỏa hiệp sau đây đã được xác định, giúp phát hiện các cuộc tấn công mạng liên quan đến Kimsuky:
- Tên miền lừa đảo:
nid-security[.]comwebcloud-notice[.]comkoala-app[.]comdcc.mil[.]kr(giả mạo)spo.go[.]kr(giả mạo)mofa.go[.]kr(giả mạo)
- Email kẻ tấn công:
jeder97271[@]wuzak[.]com
- Tên tệp Rootkit:
vmmisc.ko
- Đường dẫn Rootkit:
/usr/lib64/tracker-fs/
- Chứng chỉ GPKI bị đánh cắp (ví dụ):
136백운규001_env.key
- Mục tiêu trinh sát Đài Loan:
tw.systexcloud[.]commlogin.mdfapps[.]comcaa.org[.]tw
Khuyến nghị và Phòng ngừa Mối Đe Dọa Mạng
Để giảm thiểu rủi ro từ các mối đe dọa dai dẳng nâng cao (APT) như Kimsuky, các tổ chức nên thực hiện các biện pháp phòng ngừa chủ động. Việc phân tích sâu hơn “Kim” dump chắc chắn sẽ tiết lộ thêm những hiểu biết mới về an ninh mạng.
Các nhà phân tích và chuyên gia an ninh mạng nên tiếp tục rà soát và vô hiệu hóa bất kỳ tài sản bị xâm phạm hoặc cơ sở hạ tầng sao chép nào còn sót lại. Điều này sẽ giúp ngăn chặn mối đe dọa mạng lai đang phát triển này. Tham khảo thêm phân tích chi tiết về vụ rò rỉ của Kimsuky từ DomainTools.
