Nhóm tấn công mạng do nhà nước Triều Tiên bảo trợ, Kimsuky (còn được biết đến với các tên gọi APT43, Thallium, và Velvet Chollima), gần đây đã bị cáo buộc khởi động một chiến dịch gián điệp mạng. Trong chiến dịch này, những kẻ tấn công đã lợi dụng các tệp tin phím tắt độc hại Windows Shortcut (LNK) làm điểm khởi đầu để xâm nhập các cơ quan chính phủ Hàn Quốc, nhà thầu quốc phòng và các tổ chức nghiên cứu. Đây là một mối đe dọa mạng đáng chú ý, cho thấy sự tinh vi trong các kỹ thuật lừa đảo và triển khai mã độc.

Kỹ Thuật Xâm Nhập Ban Đầu

Chiến dịch bắt đầu bằng các email lừa đảo (phishing) chứa các tệp nén ZIP archives. Bên trong các tệp nén này là các tệp LNK độc hại, được ngụy trang cẩn thận dưới dạng tài liệu hợp pháp. Việc sử dụng tệp LNK giúp kẻ tấn công che giấu mã độc ban đầu và lừa người dùng thực thi.

Phân Tích Chi Tiết Quá Trình Thực Thi Mã Độc

Kích Hoạt & Tải Mã Từ CDN

Khi tệp LNK được thực thi, nó sẽ gọi mshta.exe để tải một tệp HTML Application (HTA) từ xa từ một Mạng phân phối nội dung (CDN). Tệp HTA này chứa mã VBScript được làm rối mã (obfuscated) rất nặng.

Kỹ Thuật Làm Rối Mã và Né Tránh Phát Hiện

Kịch bản VBScript sử dụng các hàm CLng và Chr để chuyển đổi thập phân và thập lục phân, từ đó xây dựng các chuỗi cho URL và lệnh điều khiển. Kỹ thuật này giúp mã độc qua mặt hiệu quả các công cụ phân tích tĩnh (static analysis) và hệ thống phát hiện điểm cuối (endpoint detection systems).

Tải Payload & Cơ Chế Đánh Lạc Hướng Nạn Nhân

Sau khi giai đoạn ban đầu hoàn tất, mã độc tiếp tục tải về một tài liệu PDF mồi nhử. Các tài liệu này thường được tái sử dụng từ các thông báo chính phủ Hàn Quốc về tội phạm tình dục hoặc các khoản phạt thuế. Mục đích của việc này là đánh lạc hướng nạn nhân trong khi quá trình triển khai payload chính vẫn tiếp tục diễn ra ngầm.

Theo báo cáo từ Aryaka, việc sử dụng các tài liệu mồi nhử mang tính địa phương hóa cao là một chiến thuật phổ biến của các nhóm APT nhằm tăng tính chân thực và hiệu quả của cuộc tấn công.

Tìm hiểu thêm về chiến thuật của Kimsuky trong báo cáo của Aryaka.

Chiến Thuật Né Tránh Bảo Mật và Duy Trì Quyền Truy Cập

Kiểm Tra Windows Defender và Triển Khai Payload Tùy Chọn

Mã độc kiểm tra trạng thái của Windows Defender bằng cách sử dụng lệnh CLI sau:

cmd /c sc query WinDefend

Tùy thuộc vào trạng thái của Windows Defender, mã độc sẽ có hai luồng hành động:

Trường Hợp 1: Windows Defender Đang Hoạt Động

Nếu Windows Defender đang hoạt động, kịch bản sẽ tải xuống và giải mã một tệp nén ZIP archive chứa các kịch bản PowerShell được mã hóa Base64. Các kịch bản này được thiết kế để thu thập thông tin (information stealing) và ghi lại thao tác bàn phím (keylogging).

• Các kịch bản này đảm bảo chỉ thực thi một lần bằng cách lưu ID tiến trình vào một tệp tạm thời dựa trên UUID.
• Thực hiện kiểm tra chống máy ảo (anti-VM checks) đối với các nhà sản xuất như VMware, Microsoft, và VirtualBox để tránh bị phân tích trong môi trường sandbox.
• Thiết lập cơ chế duy trì quyền truy cập (persistence) thông qua một khóa chạy registry dưới HKCUSoftwareMicrosoftWindowsCurrentVersionRun với tên là WindowsSecurityCheck.

Trường Hợp 2: Windows Defender Đã Bị Vô Hiệu Hóa

Khi Windows Defender bị vô hiệu hóa, mã độc sẽ leo thang bằng cách tải xuống một tệp HTA thay thế. Tệp này nhúng các payload được mã hóa Base64, sau đó trích xuất và thực thi một reflective DLL loader mà không ghi bất kỳ dữ liệu nào ra ổ đĩa. Kỹ thuật này giúp kẻ tấn công thực hiện tấn công mạng một cách tinh vi, khó bị phát hiện bởi các giải pháp bảo mật truyền thống.

Cơ Chế Tiêm Mã Độc Vào Bộ Nhớ (In-Memory Injection)

Loader này giải mã các tệp tin được mã hóa bằng thuật toán RC4, sau đó tiêm chúng vào bộ nhớ thông qua các API Windows như VirtualAllocEx, WriteProcessMemory, và CreateRemoteThread. Việc tiêm mã nhắm mục tiêu vào hàm xuất ReflectiveLoader để né tránh các cơ chế phát hiện dựa trên tệp.

Payload được tiêm vào sẽ đánh cắp app_bound_encrypted_key từ các trình duyệt dựa trên Chromium (ví dụ: Chrome, Edge, và Brave). Khóa này tạo điều kiện thuận lợi cho việc giải mã ngoại tuyến các thông tin đăng nhập và cookies, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng.

Thu Thập Dữ Liệu và Exfiltration

Hồ Sơ Nạn Nhân và Dữ Liệu Mục Tiêu

Trong suốt chiến dịch, mã độc tiến hành lập hồ sơ nạn nhân bằng cách nén các thư mục chứng chỉ (NPKI, GPKI), thu thập các tệp gần đây từ đường dẫn phím tắt, trích xuất dữ liệu trình duyệt (bao gồm thông tin đăng nhập và tiện ích mở rộng). Ngoài ra, mã độc cũng quét các ổ đĩa để tìm kiếm các phần mở rộng nhạy cảm như .docx, .pdf, và các thuật ngữ liên quan đến tiền điện tử.

Giai Đoạn Dữ Liệu và Kỹ Thuật Exfiltration

Dữ liệu bị đánh cắp được dàn dựng trong một thư mục có tên UUID dưới %TEMP%, sau đó nén vào tệp init.zip (được đổi tên thành init.dat). Cuối cùng, dữ liệu được exfiltrate thành các khối 1MB qua giao thức HTTP POST đến các máy chủ command-and-control (C2), được ngụy trang dưới dạng lưu lượng truy cập web thông thường.

Theo Dõi Phím Bấm (Keylogging)

Chức năng keylogging ghi lại các phím bấm, thay đổi clipboard và tiêu đề cửa sổ bằng cách sử dụng các APIGetAsyncKeyState và GetForegroundWindow. Dữ liệu này được ghi vào tệp k.log để tải lên định kỳ.

Thông Tin Chỉ Thị Compromise (IOCs)

Các chỉ thị thỏa hiệp sau đây đã được xác định liên quan đến chiến dịch này:

• Command-and-Control (C2) Server:
  • ygbsbl.hopto.org

Cơ Chế Command-and-Control (C2)

Vòng lặp C2, được thực thi mỗi 10 phút, truy vấn các đường dẫn sau để điều khiển và nhận lệnh:

• /rd: Dùng cho việc tải lên tệp (file uploads).
• /wr: Dùng cho việc tải xuống tệp (downloads).
• /cm: Dùng để thực thi các lệnh PowerShell từ xa thông qua Invoke-Expression.

Cơ chế này cho phép phân phối payload động và kiểm soát thời gian thực đối với các hệ thống bị xâm nhập.

Đánh Giá TTPs và MITRE ATT&CK

Việc gán tội cho Kimsuky được củng cố bởi các chiến thuật, kỹ thuật và quy trình (TTPs) nhất quán, bao gồm việc lạm dụng PowerShell và sử dụng các mồi nhử đặc trưng của Hàn Quốc. Điều này phù hợp với các báo cáo trước đây từ Seqrite và các nhà nghiên cứu bảo mật.

Chiến dịch này được ánh xạ tới các kỹ thuật MITRE ATT&CK cụ thể:

• T1204.002 (Malicious File Execution): Thực thi tệp tin độc hại (LNK).
• T1059.005 (VBScript): Sử dụng kịch bản VBScript.
• T1218.005 (mshta): Lợi dụng mshta.exe để thực thi mã.
• T1620 (Reflective Code Loading): Tải mã phản chiếu vào bộ nhớ.

Việc hiểu rõ các TTPs này là rất quan trọng để xây dựng các biện pháp phòng thủ hiệu quả, góp phần nâng cao an ninh mạng tổng thể.

Tìm hiểu thêm về MITRE ATT&CK Framework.

Giải Pháp Phòng Ngừa và Phát Hiện

Chiến dịch này một lần nữa nhấn mạnh sự phát triển của Kimsuky trong việc kết hợp kỹ thuật xã hội (social engineering) với mã độc mô-đun. Chúng khai thác các công cụ hợp pháp để ẩn mình và duy trì quyền truy cập.

Các tổ chức cần triển khai các biện pháp sau để chống lại những mối đe dọa mạng tương tự:

• Giám sát hành vi (behavioral monitoring) chặt chẽ.
• Kiểm toán PowerShell (PowerShell auditing) để phát hiện các hoạt động bất thường.
• Sử dụng các nền tảng SASE (Secure Access Service Edge) thống nhất để phát hiện các bất thường và gián đoạn các mối đe dọa như vậy.