Một chiến dịch tấn công mạng tinh vi nhắm vào các thiết bị Android tại Hàn Quốc đã được phát hiện, khai thác tính năng theo dõi thiết bị Find Hub của Google để thực hiện việc xóa dữ liệu người dùng từ xa. Sự kiện này đánh dấu một cấp độ mới trong các phương thức xâm nhập và kiểm soát của các tác nhân đe dọa.
Phân Tích Nhóm APT KONNI và Mối Đe Dọa Mạng
Các đối tượng đe dọa đã mạo danh các nhà tư vấn tâm lý và nhà hoạt động nhân quyền Triều Tiên để phát tán phần mềm độc hại, ngụy trang dưới dạng các chương trình giảm căng thẳng. Đây là một sự leo thang đáng kể trong các cuộc tấn công do nhà nước bảo trợ, được liên kết với nhóm APT khét tiếng KONNI.
Trung tâm An ninh Genians (GSC) đã truy vết chiến dịch này về nhóm APT KONNI. Nhóm này được biết đến với cơ sở hạ tầng và mục tiêu trùng lặp với Kimsuky và APT37 – các tác nhân liên quan đến chính quyền Triều Tiên. Trước đây, một số nhà nghiên cứu đã phân loại chúng là một thực thể duy nhất.
Gần đây, Nhóm Giám sát Các Biện pháp Trừng phạt Đa phương (MSMT), một nhóm được Liên Hợp Quốc hậu thuẫn, đã tái khẳng định rằng KONNI và Kimsuky là các nhóm riêng biệt nhưng có liên hệ chặt chẽ. Cả hai đều hoạt động dưới sự bảo trợ của Trung tâm Nghiên cứu 63 đã bị trừng phạt. Điều này cho thấy tính tổ chức và phối hợp của mối đe dọa mạng này.
Phương Thức Khai Thác và Tấn Công Mạng
Khai Thác Google Find Hub
Điểm đáng chú ý là cuộc tấn công mạng mới nhất của KONNI mở rộng phạm vi hoạt động của chúng bằng cách khai thác các thiết bị Android thông qua Google Find Hub. Đây là một dịch vụ hợp pháp được thiết kế để định vị và bảo mật điện thoại bị mất.
Lần đầu tiên, các nhà điều tra đã xác nhận rằng các tác nhân đe dọa liên quan đến nhà nước đã xâm nhập tài khoản Google của nạn nhân. Sau đó, chúng lạm dụng Find Hub để theo dõi vị trí và thực hiện lệnh xóa thiết bị từ xa, gây ra rò rỉ dữ liệu nghiêm trọng bằng cách xóa dữ liệu cá nhân và công việc quan trọng. Nguồn tham khảo chi tiết về chiến dịch này có tại Genians Security Blog.
Chiến Thuật Social Engineering và Phát Tán Mã Độc
Các đối tượng tấn công mạng đã khởi xướng chiến dịch của mình bằng cách mạo danh các thực thể đáng tin cậy. Chúng giả mạo các chuyên gia sức khỏe tâm thần hỗ trợ thanh thiếu niên Triều Tiên đào tẩu và các nhà hoạt động nhân quyền để tạo dựng uy tín. Niềm tin vốn có trong các mối quan hệ này làm tăng khả năng bị ảnh hưởng của nạn nhân.
Phần mềm độc hại đã sử dụng các phiên KakaoTalk trên PC để lây lan thêm giữa các liên hệ. Các chiến thuật spear-phishing bao gồm gửi email giả mạo Cục Thuế Quốc gia với các tệp độc hại được nhúng, hoặc sử dụng trình nhắn tin KakaoTalk để phân phối phần mềm “giảm căng thẳng”.
Quá Trình Chiếm Quyền Điều Khiển và Hậu Quả
Sau khi lây nhiễm, các script độc hại đã lây nhiễm hệ thống một cách âm thầm, thiết lập sự bền bỉ và thực hiện trinh sát thời gian thực. Phân tích pháp y kỹ thuật số cho thấy ngay sau khi truy cập ban đầu được thực hiện, các tác nhân đã thu thập thông tin đăng nhập cho tài khoản Google và Naver.
Với các tài khoản Google bị xâm nhập (tham khảo về các vụ vi phạm tài khoản Google), kẻ tấn công đã mở menu Bảo mật của Google, truy cập phần “Thiết bị của bạn” và chọn liên kết “Tìm điện thoại của tôi”. Với quyền kiểm soát này, chúng đã đăng nhập vào bảng điều khiển Bảo mật của Google, nhắm mục tiêu các thiết bị thông qua Find Hub và thực hiện nhiều lệnh đặt lại từ xa. Các hành động này kích hoạt khôi phục cài đặt gốc, vô hiệu hóa liên lạc và làm trầm trọng thêm tác động bằng cách cắt đứt nạn nhân khỏi các thông báo hoặc cảnh báo tiếp theo.
Các tài khoản Google bị xâm nhập sau đó được sử dụng để phát tán phần mềm độc hại thông qua KakaoTalk, mở rộng phạm vi tiếp cận và tăng cường các cuộc tấn công mạng tiếp theo. Không chỉ dữ liệu cá nhân và nhạy cảm bị đánh cắp, mà sự cố còn cho thấy sự kết hợp tiên tiến giữa thao túng tâm lý và khai thác kỹ thuật, một dấu hiệu của các chiến lược APT trưởng thành về mặt hoạt động.
Phân Tích Kỹ Thuật Mã Độc và Các Công Cụ
Kho lưu trữ độc hại “Stress Clear.zip” chứa một gói MSI được ký bằng một chứng chỉ số hợp lệ, do đó tránh được sự kiểm tra bảo mật cơ bản. Tệp ‘Stress Clear.msi’ chỉ chạy trên hệ điều hành Windows và không thể thực thi trên các nền tảng không tương thích như điện thoại thông minh, do đó các thiết bị này không phải là mục tiêu lây nhiễm trực tiếp của tệp MSI ban đầu.
Khi thực thi, các tệp batch nhúng và script AutoIt đã thiết lập tính bền bỉ, ánh xạ các tác vụ đã lên lịch và phân phối các module bổ sung như RemcosRAT, QuasarRAT và RftRAT. Các phần mềm này cho phép truy cập từ xa, ghi nhật ký gõ phím và trích xuất dữ liệu thêm trong khi vẫn né tránh các phần mềm chống vi-rút và kiểm soát mạng truyền thống. Đây là một ví dụ điển hình về các công cụ được sử dụng trong một cuộc tấn công mạng đa giai đoạn.
REM Ví dụ lệnh thiết lập persistence thông qua Scheduled Task
schtasks /create /tn "Microsoft_System_Update" /tr "C:\ProgramData\SystemTools\updater.exe" /sc ONLOGON /rl HIGHEST /f
REM Ví dụ lệnh thêm vào Run Registry Key
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "SystemMonitor" /t REG_SZ /d "\"C:\ProgramData\Monitor\monitor.exe\"" /f
Các module này đại diện cho một mối đe dọa mạng nghiêm trọng, cho phép kẻ tấn công duy trì quyền kiểm soát và giám sát hệ thống bị xâm nhập trong thời gian dài.
Biện Pháp Phòng Ngừa và Nâng Cao An Ninh Mạng
Làn sóng tấn công mạng này báo hiệu nhu cầu cấp bách về các biện pháp bảo mật mạnh mẽ. Các doanh nghiệp và cá nhân nên thực hiện các khuyến nghị sau để tăng cường an ninh mạng:
- Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các tài khoản trực tuyến, đặc biệt là tài khoản Google và các dịch vụ quan trọng khác, nhằm ngăn chặn việc chiếm quyền điều khiển tài khoản.
- Cảnh giác với Email và Tin nhắn Lạ: Luôn kiểm tra kỹ người gửi và nội dung của các email hoặc tin nhắn, đặc biệt là những tin nhắn yêu cầu tải xuống tệp hoặc nhấp vào liên kết đáng ngờ.
- Cập nhật Phần mềm Thường xuyên: Đảm bảo hệ điều hành, trình duyệt và tất cả các ứng dụng khác được cập nhật các bản vá bảo mật mới nhất để ngăn chặn khai thác lỗ hổng đã biết.
- Giáo dục Người dùng: Tổ chức các buổi đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên và người dùng để họ có thể nhận diện các kỹ thuật social engineering tinh vi.
- Giới hạn Quyền Truy Cập: Áp dụng nguyên tắc đặc quyền tối thiểu cho các tài khoản người dùng và ứng dụng, giảm thiểu rủi ro khi một tài khoản bị xâm nhập.
- Giám sát Hệ thống: Triển khai các giải pháp giám sát và phát hiện xâm nhập để nhanh chóng nhận diện và phản ứng với các hoạt động bất thường, ngăn chặn rò rỉ dữ liệu.
Với khả năng đã được chứng minh của các tác nhân này trong việc lạm dụng các tính năng nền tảng hợp pháp, chẳng hạn như Find Hub, cần có sự phối hợp giữa các nhà cung cấp dịch vụ và người dùng. Việc xác minh các yêu cầu xóa từ xa và thực thi xác minh quyền sở hữu được xác thực là cần thiết. Điều này giúp giảm thiểu khai thác cơ hội và mất mát dữ liệu theo chuỗi.
Sự xuất hiện của phần mềm độc hại xóa từ xa trên thiết bị Android, khéo léo ngụy trang thành công cụ sức khỏe tâm thần, cho thấy các chiến lược không ngừng phát triển của các đối thủ cyber liên kết với nhà nước. Đồng thời, nó cũng nhấn mạnh sự cần thiết của một hệ thống phòng thủ chủ động, dựa trên thông tin tình báo để đối phó hiệu quả với các mối đe dọa mạng mới nổi.
