Những Tactics Của Các Hacker Bắc Triều Tiên Sử Dụng Tệp ZIP

11/03/2025
2 mins read
Nội dung
Những Tactics Của Các Hacker Bắc Triều Tiên Sử Dụng Tệp ZIP
1. APT37 và Tệp ZIP
2. Chuỗi Tấn Công
3. Phân Tích Kỹ Thuật
4. RokRat RAT
5. Tránh Phát Hiện

Những Tactics Của Các Hacker Bắc Triều Tiên Sử Dụng Tệp ZIP

Bài viết từ GBHackers thảo luận về các chiêu thức mà các hacker Bắc Triều Tiên sử dụng, đặc biệt tập trung vào việc họ dùng tệp ZIP trong các cuộc tấn công độc hại.

1. APT37 và Tệp ZIP

  • Nhóm hacker được tài trợ bởi nhà nước Bắc Triều Tiên, APT37, còn được biết đến với các tên gọi ScarCruft, Reaper, và Red Eyes, đã được xác định là sử dụng các tệp đính kèm ZIP trong các chiến dịch tấn công của họ.
  • Các tệp ZIP này chứa các tệp LNK độc hại ẩn mà triển khai trojan truy cập từ xa (RAT) tên là RokRat thông qua một quy trình nhiều giai đoạn.

2. Chuỗi Tấn Công

  • Cuộc tấn công bắt đầu với các email phishing có chứa các tệp ZIP ẩn các tệp LNK độc hại. Những email này được tạo ra để trông hợp pháp, thường sử dụng thông tin có thật từ các trang web để tăng cường độ tin cậy.
  • Khi nạn nhân mở tệp ZIP, tệp LNK thực hiện các lệnh PowerShell để trích xuất nhiều payload, bao gồm một tài liệu HWPX đánh lạc hướng và các tệp dữ liệu thực thi.
  • Các lệnh PowerShell tìm kiếm tệp LNK bằng cách tìm các tệp có kích thước cụ thể và trích xuất dữ liệu từ các offset đã định trước trong cấu trúc tệp.

3. Phân Tích Kỹ Thuật

  • Tệp LNK chứa mã nhúng thực hiện các lệnh PowerShell. Những lệnh này trích xuất tệp tại các offset byte cụ thể, như trích xuất 0xAD36 byte tại offset 0x111E và lưu nó dưới dạng tệp HWPX.
  • Các tệp được trích xuất bao gồm caption.dat, elephant.dat, và shark.bat. Tệp shark.bat khởi chạy PowerShell trong một cửa sổ ẩn đọc elephant.dat từ thư mục tạm thời.
  • Script PowerShell sau đó giải mã caption.dat bằng cách sử dụng một khóa XOR đơn byte ‘d’ và tải nội dung đã giải mã trực tiếp vào bộ nhớ bằng các hàm API Windows như VirtualProtect và CreateThread.

4. RokRat RAT

  • Payload cuối cùng, RokRat, là một trojan truy cập từ xa tinh vi thu thập thông tin hệ thống chi tiết, bao gồm phiên bản OS, thông tin phần cứng, các quy trình đang chạy, và chụp ảnh màn hình.
  • RokRat sử dụng các dịch vụ đám mây như pCloud, Yandex, và Dropbox làm kênh chỉ huy và kiểm soát, ẩn giấu các giao tiếp của nó bằng cách giả mạo các chuỗi tác nhân người dùng Googlebot hợp pháp.

5. Tránh Phát Hiện

  • Cách tiếp cận không có tệp mà các kẻ tấn công sử dụng giảm đáng kể khả năng phát hiện bởi các giải pháp antivirus truyền thống.
  • Chuỗi nhiễm nhiều giai đoạn và việc sử dụng các tài liệu có vẻ hợp pháp giúp các kẻ tấn công tránh được phát hiện bởi các giải pháp bảo mật chỉ tập trung vào tệp ban đầu.

Phân tích chi tiết này nhấn mạnh các chiến thuật tinh vi mà các hacker Bắc Triều Tiên sử dụng để thực hiện các cuộc tấn công độc hại bằng cách sử dụng các tệp ZIP, nhấn mạnh tầm quan trọng của việc phát hiện và giảm thiểu mối đe dọa nâng cao.