Các nhà nghiên cứu bảo mật đã phát hiện một chiến dịch tấn công mạng Kimsuky tinh vi được quy cho nhóm tin tặc Kimsuky, một nhóm đe dọa được Triều Tiên hậu thuẫn, nổi tiếng với các hoạt động gián điệp chống lại các tổ chức chính phủ và các viện nghiên cứu. Chiến dịch này đại diện cho một mối đe dọa mạng đáng kể đối với nhiều tổ chức.

Phân tích gần đây tiết lộ rằng các tác nhân đe dọa đang lợi dụng các tiện ích mở rộng của Visual Studio Code và nền tảng GitHub làm hạ tầng máy chủ chỉ huy và kiểm soát (C2). Mục tiêu là phát tán các payload phần mềm độc hại đa giai đoạn, có khả năng triển khai ransomware và thực hiện do thám hệ thống quy mô lớn. Phát hiện ban đầu đến từ các bài đăng của nhà nghiên cứu bảo mật trên mạng xã hội, cung cấp các chỉ số thỏa hiệp (IOCs), IOCs mạng và các hash file liên quan đến hoạt động gần đây của Kimsuky.

Tổng quan Chiến dịch Xâm nhập Mạng Kimsuky

Bối cảnh và Mục tiêu của Tấn công mạng Kimsuky

Nhóm Kimsuky tiếp tục thể hiện sự tinh vi trong các chiến thuật. Nhóm này thường nhắm vào các thực thể chính phủ và tổ chức nghiên cứu. Mục tiêu chính là gián điệp mạng và thu thập thông tin nhạy cảm. Chiến dịch tấn công mạng Kimsuky hiện tại cho thấy sự phát triển trong việc sử dụng các dịch vụ hợp pháp để che giấu hoạt động độc hại.

Điểm nổi bật của Chiến dịch

• Sử dụng các tiện ích mở rộng của Visual Studio Code và GitHub làm kênh C2.
• Triển khai các payload phần mềm độc hại đa giai đoạn.
• Khả năng do thám hệ thống sâu rộng và tiềm năng triển khai ransomware.
• Tận dụng các dịch vụ lưu trữ hợp pháp để thiết lập hạ tầng độc hại.

Phân tích Chuỗi Lây Nhiễm trong Tấn công mạng Kimsuky

Phân tích các mẫu gửi sandbox và mô hình lưu lượng mạng cho thấy một chuỗi lây nhiễm phức tạp. Chuỗi này được thiết kế để né tránh phát hiện, đồng thời duy trì quyền truy cập liên tục vào các hệ thống bị xâm nhập. Đây là một đặc điểm điển hình của các chiến dịch tấn công mạng Kimsuky.

Giai đoạn 1: Khởi đầu bằng JavaScript Dropper

Cuộc tấn công bắt đầu bằng một file JavaScript tưởng chừng vô hại có tên Themes.js. File này đóng vai trò là điểm vào đầu tiên cho chuỗi lây nhiễm của Kimsuky. Đoạn script này không bị che giấu (unobfuscated) và thực hiện một chức năng quan trọng duy nhất: tải xuống và thực thi các payload bổ sung từ hạ tầng do đối thủ kiểm soát.

Cụ thể, file Themes.js khởi tạo các yêu cầu GET tới iuh234[.]medianewsonline[.]com. Nó truyền tên máy tính của thiết bị bị xâm nhập làm tham số, cùng với một giá trị khóa được mã hóa cứng. Điểm đáng lo ngại của phương pháp này là việc lạm dụng các dịch vụ hợp pháp. Các tác nhân tấn công đã lợi dụng Median News, một nền tảng lưu trữ tên miền phụ, để thiết lập hạ tầng chỉ huy của họ. Mặc dù bản thân nền tảng này không độc hại, nhưng tin tặc đã khai thác nó để tạo các tên miền phụ thích hợp cho việc lưu trữ các payload độc hại và thực hiện các hoạt động C2.

Giai đoạn 2: Thu thập thông tin hệ thống và Do thám

Payload giai đoạn hai đánh dấu sự leo thang đáng kể về độ phức tạp và khả năng. Mã JavaScript này thực thi năm chức năng riêng biệt, được thiết kế để thu thập thông tin hệ thống nhạy cảm. Phần mềm độc hại thu thập chi tiết hệ thống, liệt kê các tiến trình đang chạy và lập danh mục các file trong thư mục Users. Mỗi hoạt động thu thập dữ liệu sau đó đều được chuyển ra ngoài (exfiltration) thông qua các yêu cầu POST đến tên miền do kẻ tấn công kiểm soát.

Kỹ thuật sử dụng Certutil LOLBIN

Giai đoạn do thám cho thấy các thực tiễn bảo mật vận hành tinh vi. Phần mềm độc hại tạo các file tạm thời để tập hợp dữ liệu đã thu thập. Các file này sau đó được mã hóa thành các file cabinet bằng cách sử dụng công cụ certutil LOLBIN (Living Off The Land Binary). Những file được mã hóa này sau đó được truyền đến máy chủ C2. Điều này cho phép kẻ tấn công duy trì một bản kiểm kê chi tiết về môi trường bị xâm nhập trước khi triển khai các payload giai đoạn cuối cùng trong chiến dịch tấn công mạng Kimsuky.

Để tìm hiểu thêm về chuỗi lây nhiễm và phân tích kỹ thuật, bạn có thể tham khảo bài viết chi tiết về phân tích kỹ thuật dropper JavaScript của Kimsuky từ Pulsedive.

Giai đoạn 3: Duy trì quyền truy cập dai dẳng

Giai đoạn thứ ba của chuỗi lây nhiễm giới thiệu các cơ chế duy trì quyền truy cập (persistence). Các cơ chế này đảm bảo quyền truy cập lâu dài bất kể hệ thống khởi động lại hay hành vi của người dùng trong chiến dịch tấn công mạng Kimsuky.

Cơ chế Persistence qua Scheduled Task

Phần mềm độc hại thiết lập một tác vụ theo lịch trình (scheduled task) có tên “Windows Theme Manager“. Tác vụ này thực thi mỗi phút, gọi wscript.exe để thực thi lại payload Themes.js ban đầu. Tác vụ này ghi mã duy trì vào thư mục %APPDATA%MicrosoftWindowsThemes, đảm bảo việc thực thi liên tục qua các lần khởi động lại.

Ngoài ra, các tác nhân đe dọa còn triển khai một tài liệu Word có tiêu đề E-CARD.docx như một mồi nhử kỹ thuật xã hội tiềm năng. Mặc dù phân tích tài liệu này cho thấy nó trống rỗng và không có chức năng macro, việc đưa nó vào cho thấy kẻ tấn công có thể đang thử nghiệm các cơ chế phân phối hoặc chuẩn bị cho các triển khai giai đoạn hai tinh vi hơn. Đây là một phần của chiến dịch tấn công mạng Kimsuky.

Chỉ số Thỏa hiệp (IOCs)

Để hỗ trợ các nỗ lực phát hiện và ứng phó, dưới đây là các chỉ số thỏa hiệp liên quan đến chiến dịch tấn công mạng Kimsuky này:

• Tên miền C2:iuh234[.]medianewsonline[.]com
• Tên file JavaScript ban đầu:Themes.js
• Tên Scheduled Task:Windows Theme Manager
• Đường dẫn persistence:%APPDATA%MicrosoftWindowsThemes
• Tên tài liệu Word mồi nhử:E-CARD.docx

Khuyến nghị Bảo mật và Phòng ngừa đối với Tấn công mạng Kimsuky

Chiến dịch này làm nổi bật các chiến thuật tinh vi được sử dụng bởi Kimsuky và các tác nhân đe dọa được nhà nước bảo trợ tương tự. Việc sử dụng các payload dựa trên JavaScript, dịch vụ lưu trữ hợp pháp cho hạ tầng và cơ chế phân phối đa giai đoạn tạo ra những thách thức đáng kể cho các giải pháp bảo mật truyền thống. Để tăng cường an ninh mạng, các tổ chức nên ưu tiên các biện pháp sau:

• Giám sát thực thi JavaScript: Theo dõi bất kỳ hoạt động thực thi JavaScript đáng ngờ nào, đặc biệt là từ các vị trí không mong muốn.
• Kiểm tra Scheduled Tasks: Phát hiện việc tạo các tác vụ theo lịch trình bất thường hoặc các tác vụ chạy với tần suất cao.
• Giám sát lưu lượng mạng: Theo dõi các giao tiếp mạng không mong đợi đến các dịch vụ bên ngoài hợp pháp, đặc biệt là các yêu cầu GET hoặc POST bất thường.
• Đào tạo nhận thức về bảo mật: Nâng cao nhận thức của người dùng về các mối đe dọa kỹ thuật xã hội, như tài liệu Word mồi nhử.
• Cập nhật hệ thống và phần mềm: Đảm bảo tất cả hệ thống và ứng dụng được cập nhật các bản vá bảo mật mới nhất để giảm thiểu các lỗ hổng đã biết, ngay cả khi chiến dịch này chưa sử dụng CVE cụ thể.

Việc tập trung vào việc trích xuất dữ liệu trước khi triển khai payload cho thấy các hoạt động này thường đi trước việc triển khai ransomware hoặc các hoạt động gián điệp chống lại các mục tiêu có giá trị cao. Nắm bắt thông tin về các chiến dịch tấn công mạng Kimsuky là rất quan trọng để phòng vệ hiệu quả.