Trellix Advanced Research Center đã công bố chi tiết về một chiến dịch gián điệp tinh vi, được cho là có liên quan đến Triều Tiên, do nhóm Kimsuky (APT43) thực hiện. Chiến dịch tấn công mạng này đã nhắm mục tiêu vào các phái đoàn ngoại giao tại Hàn Quốc, sử dụng nhiều kỹ thuật phức tạp để đạt được mục tiêu tình báo.
Chiến Dịch Gián Điệp Nhắm Mục Tiêu Ngoại Giao
Trong khoảng thời gian từ tháng 3 đến tháng 7, chiến dịch này đã phát tán ít nhất 19 email spear-phishing. Các email được ngụy tạo một cách tinh vi, mạo danh các liên hệ ngoại giao đáng tin cậy. Mục tiêu chính là nhân viên đại sứ quán.
Kỹ Thuật Spear-Phishing và Kịch Bản Lừa Đảo
Kẻ tấn công đã sử dụng các lời mời tham gia sự kiện ngoại giao để lừa đảo. Ví dụ, chúng mời đến các cuộc họp của Liên minh Châu Âu, lễ kỷ niệm Quốc khánh Hoa Kỳ, và các buổi chiêu đãi quân sự. Thời điểm gửi email thường trùng khớp với các hoạt động ngoại giao có thật, tăng cường độ tin cậy của chiêu thức lừa đảo.
Malware được phân phối thông qua các tệp lưu trữ ZIP được bảo vệ bằng mật khẩu. Những tệp này được lưu trữ trên các nền tảng đáng tin cậy như Dropbox và Daum, giúp chúng vượt qua các biện pháp kiểm soát bảo mật ban đầu.
Cơ Chế Lây Nhiễm Ban Đầu
Quá trình lây nhiễm bắt đầu bằng email spear-phishing chứa tệp ZIP độc hại. Bên trong tệp ZIP này là các tệp Windows shortcut (.LNK) được ngụy trang thành tài liệu PDF.
Khi người dùng thực thi tệp .LNK, một kịch bản PowerShell bị che giấu sẽ được kích hoạt. Kịch bản này có nhiệm vụ tải các payload đã được mã hóa base64 từ các kho lưu trữ GitHub. Sau đó, nó thiết lập cơ chế duy trì quyền truy cập (persistence) bằng cách tạo các tác vụ theo lịch (scheduled tasks).
Sử Dụng GitHub làm Trung Tâm Chỉ Huy & Kiểm Soát (C2)
Chiến dịch này đã lạm dụng GitHub như một trung tâm Chỉ huy & Kiểm soát (C2) chính. GitHub cho phép kẻ tấn công thực hiện việc trích xuất dữ liệu (data exfiltration) và truy xuất payload thông qua giao thức HTTPS. Việc này giúp các hoạt động độc hại hòa lẫn vào lưu lượng truy cập hợp pháp, gây khó khăn cho việc phát hiện.
Kỹ Thuật Trích Xuất Dữ Liệu
Các kịch bản trinh sát được sử dụng để thu thập thông tin chi tiết về hệ thống bị xâm nhập. Chúng bao gồm phiên bản hệ điều hành, địa chỉ IP và các tiến trình đang chạy. Dữ liệu này sau đó được trích xuất về GitHub thông qua các tải lên API, dưới dạng các tệp được mã hóa base64. Điều này làm cho việc theo dõi trở nên phức tạp hơn.
Để phục vụ C2, kẻ tấn công đã sử dụng các kho lưu trữ riêng tư trên GitHub, chẳng hạn như các tài khoản dưới tên “blairity” và “landjhon”. Các hướng dẫn cho nạn nhân được lưu trữ trong các tệp như “onf.txt”, chỉ dẫn họ đến các payload XenoRAT được lưu trữ trên Dropbox. Các payload này được che giấu bằng Confuser Core 1.6.0.
Mã Độc XenoRAT và Khả Năng Kiểm Soát Hệ Thống
Một biến thể của mã độc XenoRAT, một loại remote access trojan (RAT), đã cung cấp cho kẻ tấn công quyền kiểm soát toàn diện hệ thống. Khả năng của XenoRAT bao gồm ghi lại thao tác bàn phím (keystroke logging), chụp ảnh màn hình (screenshot capture) và truyền tệp (file transfers). Những tính năng này cho phép kẻ tấn công thu thập thông tin tình báo quan trọng từ các hệ thống bị xâm nhập.
Các payload này được tải vào bộ nhớ một cách phản xạ (reflectively) sau khi thao tác tiêu đề GZIP. Đây là một dấu hiệu đặc trưng của các chiến dịch tấn công từ Triều Tiên, đảm bảo rằng mã độc được thực thi mà không để lại dấu vết trên đĩa (diskless execution), tăng cường khả năng ẩn mình và gây khó khăn cho việc phân tích pháp y.
Phân Tích Hạ Tầng và Dấu Hiệu Hoạt Động
Phân tích hạ tầng đã liên kết các địa chỉ IP như 158.247.230.196 với các máy chủ Kimsuky đã biết. Các mẫu hoạt động cho thấy chiến dịch này được thực hiện từ thứ Hai đến thứ Sáu, trong múi giờ +08:00. Điều thú vị là hoạt động này có mối tương quan với các ngày lễ của Trung Quốc. Dấu hiệu này cho thấy các nhà điều hành có thể có trụ sở tại Trung Quốc, mặc dù chiến dịch được gán cho Triều Tiên.
Chỉ Số Nhận Diện Sự Xâm Nhập (IOCs)
Dưới đây là các chỉ số nhận diện sự xâm nhập liên quan đến chiến dịch này:
- Địa chỉ IP liên quan đến C2:
158.247.230.196
- Kho lưu trữ GitHub C2 (tài khoản):
blairitylandjhon
- Tên tệp C2 được sử dụng:
onf.txt
- Biến thể mã độc được sử dụng:
- XenoRAT
- Chữ ký phát hiện mã độc (Trellix):
- LNK/Downloader.ZRD
- XenoRAT/Packed.A
Gán Nhóm Tấn Công và Kỹ Thuật MITRE ATT&CK
Việc gán nhóm tấn công một cách vững chắc đã chỉ ra Kimsuky. Điều này dựa trên sự trùng lặp trong các chiến thuật được sử dụng, bao gồm các mồi nhử theo chủ đề, việc sử dụng dịch vụ Hàn Quốc và các biến thể XenoRAT phù hợp với các chiến dịch trước đây. Tuy nhiên, việc tạm dừng hoạt động trong các ngày lễ của Trung Quốc, như Tết Thanh Minh, cho thấy khả năng có sự hỗ trợ hoặc đặt cơ sở tại Trung Quốc.
Theo báo cáo từ Trellix, chiến dịch này ánh xạ tới các kỹ thuật MITRE ATT&CK cụ thể:
- T1566.001 (Spearphishing Attachment): Sử dụng tệp đính kèm spear-phishing để lừa nạn nhân.
- T1059.001 (PowerShell Execution): Thực thi mã thông qua PowerShell để tải payload và thiết lập persistence.
- T1567.002 (Exfiltration Over Web Service): Trích xuất dữ liệu thông qua các dịch vụ web như GitHub API.
Biện Pháp Phát Hiện và Phòng Ngừa Mối Đe Dọa Mạng
Chiến dịch này vẫn đang hoạt động, nhấn mạnh sự cần thiết của các biện pháp bảo mật nâng cao. Để chống lại các mối đe dọa mạng do nhà nước bảo trợ như vậy, cần tăng cường bảo mật email, giám sát GitHub chặt chẽ và triển khai khả năng phát hiện bất thường (anomaly detection) trong các mạng ngoại giao.
Các giải pháp của Trellix, như Endpoint Security, đã có khả năng phát hiện các chữ ký liên quan đến chiến dịch này. Điều này bao gồm nhận diện LNK/Downloader.ZRD và XenoRAT/Packed.A. Việc cập nhật liên tục các giải pháp bảo mật và nâng cao nhận thức người dùng là yếu tố then chốt để đối phó với các cuộc tấn công mạng ngày càng tinh vi.
