forceCopy Stealer
Nhóm tin tặc Kimsuky có liên hệ với Triều Tiên đã bị phát hiện sử dụng các cuộc tấn công lừa đảo để phân phối một phần mềm độc hại đánh cắp thông tin mới được xác định có tên là forceCopy. Các cuộc tấn công này bắt đầu bằng các email lừa đảo có chứa tệp phím tắt Windows (LNK) được ngụy trang, được tạo ra để trông giống như tài liệu Microsoft Office hoặc PDF. Những người nhận không nghi ngờ gì khi mở tệp đó vô tình kích hoạt một phản ứng dây chuyền thực thi các lệnh độc hại.
Mục lục
Khai thác các công cụ hợp pháp để cung cấp các tải trọng đe dọa
Khi người dùng tương tác với tệp đính kèm có hại, quá trình lây nhiễm bắt đầu bằng cách thực thi PowerShell hoặc 'mshta.exe', một tiện ích Windows hợp pháp được sử dụng để chạy các tệp Ứng dụng HTML (HTA). Kỹ thuật này cho phép kẻ tấn công lấy và triển khai các tải trọng phần mềm độc hại bổ sung từ nguồn bên ngoài mà không gây nghi ngờ.
Triển khai Trojan và Công cụ Máy tính từ xa
Các cuộc tấn công cuối cùng dẫn đến việc triển khai các mối đe dọa đã biết, bao gồm Trojan PEBBLEDASH và phiên bản đã sửa đổi của RDP Wrapper, một công cụ nguồn mở được sử dụng để truy cập máy tính từ xa. Cùng với những công cụ này, phần mềm độc hại proxy được đưa vào để đảm bảo kết nối liên tục giữa thiết bị bị xâm phạm và mạng bên ngoài của kẻ tấn công thông qua Giao thức máy tính từ xa (RDP).
Keylogger và forceCopy: Nhắm mục tiêu vào thông tin đăng nhập đã lưu trữ
Kimsuky cũng đã được nhìn thấy sử dụng một keylogger dựa trên PowerShell để ghi lại các lần nhấn phím, tăng cường khả năng đánh cắp thông tin nhạy cảm của họ. Ngoài ra, phần mềm độc hại forceCopy mới được phát hiện được thiết kế riêng để trích xuất các tệp được lưu trữ trong các thư mục trình duyệt web. Điều này cho thấy một nỗ lực để vượt qua các hạn chế bảo mật và truy cập trực tiếp vào các tệp cấu hình trình duyệt nơi thông tin đăng nhập thường được lưu trữ.
Một sự thay đổi chiến lược: Sử dụng RDP để kiểm soát máy chủ
Sự phụ thuộc của nhóm vào RDP Wrapper và phần mềm độc hại proxy làm nổi bật sự thay đổi chiến thuật trong hoạt động của chúng. Trước đây, Kimsuky chủ yếu sử dụng các cửa hậu tùy chỉnh để kiểm soát các hệ thống bị nhiễm. Bây giờ, bằng cách tận dụng các công cụ có sẵn rộng rãi, chúng hướng đến mục tiêu duy trì sự bền bỉ trong khi giảm khả năng bị phát hiện.
APT43: Mối đe dọa gián điệp mạng lâu đời
Kimsuky, còn được biết đến với các bí danh như APT43, Black Banshee và Emerald Sleet, được cho là hoạt động theo Tổng cục Trinh sát (RGB) của Triều Tiên, cơ quan tình báo nước ngoài hàng đầu của nước này. Hoạt động ít nhất từ năm 2012, nhóm này có lịch sử lâu dài trong việc thực hiện các cuộc tấn công kỹ thuật xã hội tinh vi để vượt qua các biện pháp bảo vệ an ninh email.
Mở rộng hoạt động với các chiến dịch lừa đảo có trụ sở tại Nga
Những phát hiện gần đây cho thấy Kimsuky đã sử dụng email lừa đảo được gửi từ các dịch vụ email của Nga để thực hiện các chiến dịch đánh cắp thông tin đăng nhập. Sự điều chỉnh này, được quan sát vào tháng 12 năm 2024, phản ánh các chiến thuật đang phát triển của nhóm khi tiếp tục tinh chỉnh các kỹ thuật kỹ thuật xã hội của mình để nhắm mục tiêu vào các cá nhân và tổ chức có giá trị cao.
