Những phát hiện này đến từ công ty an ninh mạng DCSO (Đức), công ty đã liên kết hoạt động này có nguồn gốc từ các tác nhân đe dọa tới từ Triều Tiên nhắm vào Nga, trong đó có Bộ Ngoại giao nước này (MID), nêu bật các hoạt động gián điệp mạng đang diễn ra với mục tiêu là các cơ quan trong Chính phủ Nga.
Vào tháng 11/2023, hãng bảo mật Fortinet (Mỹ) cũng đã tiết lộ việc các tin tặc sử dụng tài liệu Microsoft Word bằng tiếng Nga để phát tán phần mềm độc hại có khả năng thu thập thông tin nhạy cảm từ các máy chủ Windows bị xâm nhập.
Konni RAT là một công cụ phần mềm độc hại tinh vi mà các tác nhân đe dọa mạng sử dụng để truy cập trái phép vào hệ thống, thực thi lệnh từ xa và đánh cắp dữ liệu nhạy cảm. Được quan sát lần đầu tiên vào năm 2014, Konni RAT có liên quan đến một số chiến dịch tấn công mạng của Triều Tiên, cho thấy việc các tác nhân đe dọa sử dụng phần mềm độc hại này trong các nỗ lực gián điệp mạng. Konni RAT có thể chụp ảnh màn hình, thu thập các lần thao tác gõ phím và đánh cắp dữ liệu, gây ra mối đe dọa đáng kể đối với tính toàn vẹn và bảo mật của các hệ thống bị xâm nhập.
DCSO cho biết việc đóng gói Konni RAT trong trình cài đặt phần mềm là một kỹ thuật đã được nhóm tin tặc Konni áp dụng trước đó vào tháng 10/2023, khi các tin tặc này bị phát hiện lợi dụng một phần mềm kê khai thuế của Nga có tên Spravki BK để phát tán trojan. Trong trường hợp phân phối Konni RAT, backdoor được cài đặt có tên là Statistika KZU (Cтатистика КЗУ).
Hình 1. Giao diện hiển thị của Statistika KZU
Trình cài đặt bị xâm nhập được thiết kế với mục đích sử dụng trong hệ thống mạng nội bộ của MID, đặc biệt để chuyển tiếp các tệp báo cáo hàng năm từ các cơ quan lãnh sự ở nước ngoài (КЗУ — консульские загранучреждения) đến Cục Lãnh sự của MID thông qua một kênh kết nối an toàn.
Trình cài đặt bị trojan hóa là một tệp MSI, khi khởi chạy sẽ bắt đầu trình tự lây nhiễm nhằm thiết lập liên hệ với máy chủ điều khiển và ra lệnh (C2) để chờ hướng dẫn thêm và cho phép lọc dữ liệu nhạy cảm.
Hình 2. Tập lệnh của phần mềm độc hại Konni RAT
Như đã đề cập, Konni RAT có khả năng truyền tệp và thực thi lệnh, được cho là đã hoạt động ít nhất kể từ đầu năm 2014, phần mềm độc hại này đã được các tác nhân đe dọa khác của Triều Tiên như Kimsuky và ScarCruft (còn gọi là APT37) sử dụng trong các chiến dịch tấn công mạng khác nhau.
Cuộc tấn công mạng này đã phản ánh những căng thẳng địa chính trị đang diễn ra và vai trò của gián điệp mạng trong quan hệ quốc tế. Việc phần mềm độc hại Konni RAT xâm nhập vào phần mềm của Chính phủ Nga nhấn mạnh bối cảnh ngày càng phát triển của các mối đe dọa mạng cũng như tầm quan trọng của các biện pháp cảnh giác và chủ động bảo mật.
Khi các tin tặc được nhà nước bảo trợ ngày càng phát triển các kỹ thuật tấn công mạng, sự hợp tác giữa các chuyên gia và tổ chức bảo mật trở nên đặc biệt quan trọng trong việc giảm thiểu rủi ro do các mối đe dọa phần mềm độc hại tinh vi như Konni RAT gây ra.
Hồng Đạt
(Tổng hợp)
08:00 | 12/03/2024
07:00 | 16/01/2024
10:00 | 13/03/2024
10:00 | 13/05/2024
13:00 | 28/03/2024
11:00 | 26/08/2024
17:00 | 02/07/2021
11:00 | 29/05/2024
09:00 | 03/08/2016
16:00 | 24/07/2024
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
09:00 | 27/12/2024
Các tên miền mới như ".shop", ".xyz" đang ngày càng trở nên phổ biến với tội phạm mạng do giá rẻ và quy trình đăng ký đơn giản là cảnh báo được đưa ra trong báo cáo Cybercrime Supply Chain 2024 của Interisle Consulting Group (Mỹ).
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025