Tin tặc Triều Tiên tăng cường hoạt động do thám mạng ở Ukraine

09:53 | 27/05/2025

Nhóm tin tặc Triều Tiên Konni (hay còn gọi là Opal Sleet, TA406) đã bị phát hiện nhắm mục tiêu vào các cơ quan chính phủ Ukraine trong các hoạt động thu thập thông tin tình báo.

Những kẻ tấn công sử dụng email lừa đảo mạo danh các tổ chức nghiên cứu, đề cập đến các sự kiện chính trị quan trọng hoặc diễn biến quân sự để dụ mục tiêu. Các nhà nghiên cứu tại hãng bảo mật Proofpoint (Mỹ) phát hiện ra hoạt động này vào tháng 02/2025, nhận định rằng có khả năng đây là một nỗ lực hỗ trợ sự tham gia của Cộng hòa Dân chủ Nhân dân Triều Tiên trong cuộc xung đột Nga – Ukraine, đồng thời đánh giá tình hình chính trị trong cuộc chiến này.

“Proofpoint cho rằng các tin tặc Konni đang nhắm mục tiêu vào các thực thể Chính phủ Ukraine để hiểu rõ hơn và đánh giá tình hình, diễn biến về cuộc xung đột. Các tin tặc Konni rất có thể đang thu thập thông tin tình báo để giúp Chính phủ Triều Tiên xác định rủi ro hiện tại đối với các lực lượng đang có mặt tại chiến trường”, các nhà nghiên cứu giải thích.

Chuỗi tấn công

Các email độc hại được gửi đến mục tiêu sẽ mạo danh thành viên của các nhóm nghiên cứu hư cấu, giải quyết các vấn đề quan trọng liên quan đến tình hình chính trị tại Ukraine. Những kẻ tấn công sử dụng các dịch vụ email miễn phí như Gmail, ProtonMail và Outlook để liên tục gửi tin nhắn đến mục tiêu, yêu cầu họ nhấp vào liên kết.

Hình 1. Email lừa đảo được sử dụng trong các cuộc tấn công Konni

Khi thực hiện hành động này, nạn nhân được chuyển đến trang MEGA-hosted download, tại đó một chương trình tệp RAR được bảo vệ bằng mật khẩu (Analytical Report[.]rar) sẽ được tải xuống vào vào hệ thống của họ, chứa tệp CHM có cùng tên. Mở chương trình này tệp RAR sẽ kích hoạt để tải xuống các tệp lệnh PowerShell độc hại, từ đó mã độc tiến hành thu thập thông tin trinh sát từ máy chủ bị nhiễm và thiết lập tính duy trì liên tục.

Proofpoint cũng đã phát hiện các biến thể sử dụng tệp đính kèm HTML để nhúng các tệp ZIP (bao gồm các tệp PDF lành tính và các tệp LNK độc hại), dẫn đến thực thi PowerShell và VBScript.

Hình 2. PowerShell được mã hóa trong tệp LNK

Các nhà nghiên cứu chưa thể thu thập được dữ liệu cuối cùng trong các cuộc tấn công này, họ nhận định rằng đó là một loại backdor nào đó giúp thực hiện các hoạt động gián điệp. Proofpoint cũng lưu ý rằng Konni đã thực hiện các cuộc tấn công chuẩn bị trước đó, nhắm vào những mục tiêu tương tự và cố gắng thu thập thông tin đăng nhập tài khoản mà các nạn nhân có thể sử dụng, từ đó chiếm đoạt tài khoản.

Những nỗ lực này bao gồm các email giả mạo cảnh báo bảo mật của Microsoft, tuyên bố có “hoạt động đăng nhập bất thường” và yêu cầu người nhận xác minh thông tin đăng nhập của họ trên một trang web lừa đảo tại địa chỉ “jetmf[.]com”.

Hình 3. Cảnh báo bảo mật giả mạo của Microsoft

Việc Triều Tiên nhắm mục tiêu vào các cơ quan chính phủ Ukraine đã tạo nên một chiều hướng mới trên mặt trận không gian mạng, ảnh hưởng không nhỏ đến tình hình chính trị và cục diện chiến trường quân sự trong cuộc xung đột.

Để lại bình luận