Các tác nhân mối đe dọa mạng do nhà nước Triều Tiên bảo trợ đã tăng cường các hoạt động không gian mạng của mình. Họ triển khai các biến thể mã độc mới tinh vi, được thiết kế để thiết lập quyền truy cập backdoor bền bỉ vào các hệ thống bị xâm nhập.

Các cuộc điều tra gần đây của các nhà nghiên cứu tình báo về mối đe dọa mạng đã phát hiện hai bộ công cụ riêng biệt từ các nhóm hacker hàng đầu liên kết với Triều Tiên.

Cụ thể, đó là backdoor HttpTroy mới được xác định của nhóm Kimsuky và một phiên bản nâng cấp của công cụ truy cập từ xa BLINDINGCAN từ nhóm Lazarus. Thông tin chi tiết được công bố bởi các nhà nghiên cứu tình báo.

Cả hai chiến dịch đều minh chứng cho sự phát triển không ngừng của năng lực không gian mạng Triều Tiên. Chúng cũng cho thấy cam kết của các nhóm này đối với các hoạt động gián điệp, nhắm mục tiêu vào các nạn nhân chiến lược trên nhiều quốc gia.

Những phát hiện này nhấn mạnh một xu hướng đáng lo ngại trong hành vi của các tác nhân mối đe dọa mạng dai dẳng nâng cao (APT). Các nhóm đã thành lập liên tục tinh chỉnh kỹ thuật của mình để né tránh sự phát hiện, đồng thời duy trì hiệu quả hoạt động.

Các nhà nghiên cứu bảo mật nhấn mạnh rằng những công cụ này đại diện cho những phát triển đáng kể trong kho vũ khí mạng của Triều Tiên. Chúng kết hợp nhiều lớp làm rối và các cơ chế duy trì quyền truy cập tinh vi, thách thức các biện pháp phòng thủ truyền thống.

Chiến Dịch Tấn Công Mạng Từ Kimsuky và Lazarus Group

HttpTroy: Backdoor Mới Từ Kimsuky

Chiến dịch của nhóm Kimsuky đã nhắm mục tiêu vào một nạn nhân duy nhất ở Hàn Quốc. Các đối tượng sử dụng phương pháp kỹ thuật xã hội được thiết kế để xuất hiện như thư tín kinh doanh hợp pháp.

Chuỗi tấn công mạng bắt đầu bằng một tệp lưu trữ ZIP mạo danh hóa đơn dịch vụ VPN. Tệp này được đặt tên cụ thể để tham chiếu một công ty Hàn Quốc và các dịch vụ quản lý SSL VPN.

Một khi được thực thi, tải trọng độc hại đã khởi tạo một quá trình lây nhiễm nhiều giai đoạn. Quá trình này cuối cùng đã phân phối backdoor HttpTroy đến hệ thống bị xâm nhập.

Chuỗi Lây Nhiễm Và Cơ Chế Hoạt Động

Trình tự lây nhiễm bao gồm ba thành phần riêng biệt hoạt động phối hợp để thiết lập quyền truy cập bền bỉ.

1. Đầu tiên, một dropper nhẹ viết bằng Go chứa ba tệp nhúng. Nó thực hiện xâm nhập hệ thống ban đầu, đồng thời hiển thị một tài liệu PDF mồi nhử để duy trì ảo ảnh hợp pháp.
2. Dropper này sử dụng mã hóa XOR đơn giản với khóa 0x39 để giải mã các tải trọng nhúng của nó trước khi ghi chúng vào đĩa.
3. Chuỗi tấn công mạng sau đó tiến triển đến MemLoad_V3. Đây là một backdoor giai đoạn đầu chịu trách nhiệm thiết lập sự bền bỉ thông qua một tác vụ được lên lịch. Tác vụ này giả mạo chức năng cập nhật phần mềm diệt virus AhnLab.

Tải trọng cuối cùng của HttpTroy đại diện cho một backdoor có khả năng cao. Nó cung cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với các hệ thống bị nhiễm.

Chức Năng Chính Của HttpTroy

• Khả năng tải lên và tải xuống tệp.
• Chụp và đánh cắp ảnh màn hình.
• Thực thi lệnh với đặc quyền nâng cao.
• Tải tệp thực thi vào bộ nhớ.
• Thiết lập reverse shell.
• Chấm dứt tiến trình để xóa dấu vết.

Giao tiếp với cơ sở hạ tầng command-and-control (C2) diễn ra độc quyền thông qua các yêu cầu HTTP POST. Tất cả dữ liệu đều được làm rối bằng mã hóa XOR và mã hóa Base64.

BLINDINGCAN Nâng Cấp Từ Lazarus Group

Song song với chiến dịch của Kimsuky, nhóm Lazarus Group đã nhắm mục tiêu vào hai nạn nhân ở Canada. Họ sử dụng một biến thể cập nhật của công cụ truy cập từ xa BLINDINGCAN đã được thiết lập.

Các nhà nghiên cứu đã chặn cuộc tấn công mạng này ở giữa chuỗi, quan sát một phiên bản mới của mã độc Comebacker. Mã độc này tạo điều kiện cho việc triển khai biến thể BLINDINGCAN được cải tiến.

Mặc dù các chi tiết kỹ thuật của chiến dịch cụ thể này vẫn đang được điều tra, nhưng hoạt động này chứng tỏ cam kết không ngừng của Lazarus Group. Họ liên tục duy trì và cải thiện các khung mã độc hiện có của mình.

Kỹ Thuật Né Tránh Phát Hiện và Bảo Mật

Cả hai chiến dịch đều có những đặc điểm chung điển hình của các hoạt động không gian mạng của Triều Tiên. Chúng bao gồm việc sử dụng rộng rãi các kỹ thuật làm rối để làm phức tạp phân tích và né tránh các giải pháp bảo mật.

Cụ thể, HttpTroy sử dụng băm API tùy chỉnh, tái cấu trúc chuỗi động trong thời gian chạy và làm rối dựa trên tập lệnh SIMD. Các kỹ thuật này nhằm chống lại cả các nỗ lực phân tích tĩnh và động.

Tất cả dữ liệu được truyền tải (cả lệnh và phản hồi) đều được làm rối bằng quy trình hai bước. Đầu tiên là mã hóa XOR với khóa 0x56, sau đó là mã hóa Base64.

Sự xuất hiện của những công cụ mới này củng cố bản chất dai dẳng và thích ứng của các tác nhân mối đe dọa mạng Triều Tiên. Điều này đòi hỏi sự cảnh giác liên tục và các chiến lược phòng thủ cập nhật từ các tổ chức mục tiêu tiềm năng.

Khuyến Nghị Phòng Ngừa và Giảm Thiểu Rủi Ro

Các chuyên gia bảo mật khuyến nghị các tổ chức nên triển khai nhiều lớp phòng thủ để giảm thiểu mối đe dọa mạng từ các tác nhân do nhà nước bảo trợ tinh vi.

Các biện pháp quan trọng bao gồm:

• Xử lý các tệp đính kèm email không mong muốn với sự thận trọng cực độ.
• Nhận biết rằng các tệp có phần mở rộng như .scr là các chương trình thực thi chứ không phải tài liệu.
• Duy trì phần mềm bảo mật được cập nhật với thông tin tình báo về mối đe dọa mạng hiện tại.
• Triển khai khả năng phát hiện hành vi có thể xác định các hoạt động đáng ngờ sau khi bị xâm nhập.