Được biết, Kimsuky là một nhóm tin tặc được nhà nước bảo trợ có liên quan đến tình báo quân sự Triều Tiên - Tổng cục Trinh sát (RGB).
Vào đầu tháng 2/2024, các nhà nghiên cứu tại công ty tình báo mối đe dọa SW2 (Hàn Quốc) đã báo cáo về một chiến dịch tấn công mạng mà trong đó các tin tặc Kimsuky sử dụng phiên bản trojan hóa của nhiều giải pháp phần mềm khác nhau, ví dụ như TrustPKI và NX_PRNMAN từ SGA Solutions, Wizvera VeraPort, để lây nhiễm mã độc Troll Stealer (hay TrollAgent) và GoBear vào các mục tiêu tại Hàn Quốc.
Các nhà nghiên cứu tại hãng bảo mật Symantec (Mỹ) khi điều tra về chiến dịch tương tự nhắm vào các tổ chức chính phủ Hàn Quốc đã phát hiện ra một công cụ độc hại mới có vẻ là một biến thể Linux của backdoor GoBear.
Backdoor Gomir
Gomir có cấu trúc và nhiều điểm tương đồng với GoBear cũng như có khả năng giao tiếp với máy chủ điều khiển và ra lệnh (C2), cùng cơ chế duy trì và hỗ trợ thực thi nhiều loại lệnh khác nhau.
Sau khi cài đặt, backdoor sẽ kiểm tra giá trị ID group để xác định xem nó có đang thực thi với quyền root trên Linux hay không, sau đó sao chép chính nó vào tệp /var/log/syslogd để duy trì sự tồn tại lâu dài. Tiếp theo, phần mềm độc hại tạo ra một dịch vụ systemd có tên “syslogd” và đưa ra các lệnh khởi động dịch vụ trước khi xóa tệp thực thi và chấm dứt tiến trình ban đầu.
Ngoài ra, các tin tặc đã cố gắng cấu hình lệnh crontab để chạy khi khởi động lại hệ thống bằng cách tạo tệp cron[.]txt trong thư mục làm việc hiện tại. Nếu danh sách crontab được cập nhật thành công, tệp này cũng sẽ bị xóa.
Gomir hỗ trợ tới 17 thao tác, được kích hoạt sau khi nhận lệnh tương ứng từ C2 thông qua các yêu cầu HTTP POST, bao gồm:
- Tạm dừng liên lạc với máy chủ C2.
- Thực thi các lệnh shell tùy ý.
- Báo cáo thư mục làm việc hiện tại.
- Thay đổi thư mục làm việc.
- Thăm dò điểm cuối mạng.
- Chấm dứt tiến trình.
- Báo cáo tên đường dẫn thực thi.
- Thu thập số liệu thống kê về cây thư mục.
- Báo cáo chi tiết cấu hình hệ thống (tên máy chủ, tên người dùng, CPU, RAM, giao diện mạng).
- Cấu hình shell dự phòng để thực thi các lệnh.
- Cấu hình codepage để diễn giải đầu ra lệnh shell.
- Tạm dừng liên lạc cho đến một thời gian cụ thể.
- Trả lời “Not implemented on Linux!”.
- Bắt đầu reverse proxy cho các kết nối từ xa.
- Báo cáo điểm cuối kiểm soát cho reverse proxy.
- Tạo các tệp tin tùy ý trên hệ thống.
- Lọc các tệp tin từ hệ thống.
Theo các nhà nghiên cứu của Symantec, các lệnh trên gần như tương tự với các lệnh được hỗ trợ bởi backdoor GoBear Windows.
Dựa trên phân tích của chiến dịch, các nhà nghiên cứu nhận định rằng các cuộc tấn công chuỗi cung ứng (phần mềm, trình cài đặt trojan, trình cài đặt giả mạo) là phương thức tấn công ưa thích của các tác nhân gián điệp Triều Tiên.
Báo cáo của Symantec bao gồm một tập hợp các chỉ số về sự xâm phạm của nhiều công cụ độc hại được quan sát thấy trong chiến dịch, bao gồm Gomir, Troll Stealer và GoBear dropper.
Nguyễn Ngọc Nguyên
(Tổng hợp)
10:00 | 13/05/2024
11:00 | 26/08/2024
08:00 | 14/06/2024
16:00 | 24/07/2024
07:00 | 17/10/2024
08:00 | 05/11/2024
14:00 | 05/03/2024
07:00 | 21/06/2024
07:00 | 16/01/2024
09:00 | 07/03/2025
Nhiều tổ chức, doanh nghiệp ở khu vực Châu Á - Thái Bình Dương (APAC) đã trở thành mục tiêu của các cuộc tấn công giả mạo nhằm phát tán một loại phần mềm độc hại có tên gọi là FatalRAT.
14:00 | 03/03/2025
Theo cảnh báo từ công ty tình báo mối đe dọa GreyNoise (Mỹ), các tác nhân đe dọa đang nỗ lực tấn công vào tường lửa PAN-OS của Palo Alto Networks bằng cách khai thác lỗ hổng vừa được khắc phục (CVE-2025-0108) cho phép vượt qua xác thực.
16:00 | 20/01/2025
Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
