Một chiến dịch tấn công mạng tinh vi đã được phát hiện, trong đó các tác nhân đe dọa sử dụng một tài liệu PDF có vẻ hợp pháp cùng với một tệp shortcut (LNK) độc hại. Chiến dịch này được đặt tên là HanKook Phantom, nhắm mục tiêu vào các cá nhân và tổ chức có liên quan đến Hiệp hội Nghiên cứu Tình báo Quốc gia của Hàn Quốc.

Tổng quan Chiến dịch tấn công mạng của APT-37 HanKook Phantom

Chiến dịch được thiết kế để triển khai mã độc, chiếm quyền kiểm soát hệ thống mục tiêu và thực hiện hoạt động gián điệp mạng kéo dài. Các tài liệu lừa đảo được sử dụng bao gồm bản tin “국가정보연구회 소식지 (52호)” (Bản tin Hiệp hội Nghiên cứu Tình báo Quốc gia – Số 52) và tệp LNK độc hại có tên “국가정보연구회 소식지(52호).pdf.LNK”.

Kẻ tấn công phân phối cả hai tệp này cùng nhau, có thể trong cùng một kho lưu trữ hoặc dưới dạng các tệp đính kèm có vẻ liên quan. Khi nạn nhân mở tệp LNK, một payload PowerShell được thực thi âm thầm, tải xuống và chạy thêm mã độc, giúp kẻ tấn công thiết lập chỗ đứng trên hệ thống mục tiêu.

Nhóm Tác nhân Đe dọa APT-37 (InkySquid)

Bằng chứng thu thập được cho thấy sự tham gia của APT-37, còn được gọi là InkySquid, ScarCruft, Reaper, Group123, TEMP.Reaper hoặc Ricochet Chollima. Đây là một nhóm gián điệp mạng do nhà nước Triều Tiên bảo trợ, hoạt động từ ít nhất năm 2012.

Mặc dù APT-37 thường tập trung vào Hàn Quốc, nhưng các hoạt động tấn công mạng của nhóm cũng đã ảnh hưởng đến Nhật Bản, Việt Nam, Nga, Nepal, Trung Quốc, Ấn Độ, Romania, Kuwait và một số quốc gia Trung Đông.

Mục tiêu chính của nhóm là đánh cắp thông tin nhạy cảm, thiết lập khả năng duy trì truy cập và thực hiện gián điệp dài hạn, cho thấy mức độ rủi ro nghiêm trọng từ các cuộc tấn công mạng này.

Chuỗi Lây nhiễm và Kỹ thuật Tấn công

Chuỗi lây nhiễm bắt đầu khi người dùng mở tệp LNK độc hại. Một bản theo dõi Procmon tiết lộ rằng các script PowerShell nhúng bên trong tệp LNK đã trích xuất nhiều payload khác nhau.

Khai thác Tệp LNK và Kỹ thuật Fileless

Cụ thể, script PowerShell đọc dữ liệu nhị phân từ các offset được định trước: 0x0000102C cho PDF mồi nhử, 0x0007EDC1 cho binary loader, 0x0015A851 cho các lệnh scripting và 0x0015AED2 cho payload cuối cùng.

Các đoạn dữ liệu này được tái tạo thành các tệp riêng biệt (aio0.dat, aio1.dat, aio2.dat và aio1+3.b+la+t) trong thư mục %TEMP%. Sau đó, một tệp batch (aio03.bat) gọi PowerShell để tải payload cuối cùng hoàn toàn vào bộ nhớ, minh họa kỹ thuật thực thi fileless thông qua reflective DLL injection.

Tham khảo thêm về cách PowerShell được khai thác để phân phối mã độc: PowerShell Exploits.

Giai đoạn trong bộ nhớ giải mã tệp thực thi được mã hóa XOR (aio01.dat) bằng khóa một byte (0x35). Sau đó, nó cấp phát bộ nhớ có thể thực thi bằng GlobalAlloc và VirtualProtect, rồi khởi chạy một luồng mới qua CreateThread để triển khai mã độc ROKRAT.

Phân tích Mã độc ROKRAT và Hành vi Gián điệp

Phân tích tệp thực thi được trích xuất cho thấy các hành vi điển hình của mã độc ROKRAT, một loại mã độc được APT-37 sử dụng rộng rãi. Các hành vi này bao gồm:

• Host fingerprinting: Thu thập thông tin hệ thống (kiểm tra WOW64, tên máy tính, thông tin BIOS).
• Anti-VM: Thực hiện các kiểm tra để phát hiện môi trường máy ảo.
• Screenshot capture: Chụp ảnh màn hình mục tiêu.
• Remote shellcode execution: Thực thi shellcode từ xa.
• File exfiltration: Đánh cắp và rò rỉ dữ liệu.
• System enumeration: Liệt kê thông tin hệ thống chi tiết.
• Remote command execution: Thực thi lệnh từ xa để chiếm quyền điều khiển.

Mã độc này đánh cắp các tài liệu (ví dụ: .doc, .xls, .ppt, .pdf, .hwp) bằng cách giả mạo hoạt động tải tệp trình duyệt hợp pháp lên một endpoint C2 được mã hóa cứng tại daily.alltop.asia. Sau đó, nó xóa các bản sao cục bộ để che giấu dấu vết của cuộc tấn công mạng.

Xem chi tiết hơn về hoạt động của APT-37 và mã độc ROKRAT: Operation HanKook Phantom.

Biến thể Chiến dịch và Kỹ thuật Che giấu

Chiến dịch thứ hai có một phương thức phân phối dựa trên LNK tương tự, sử dụng tài liệu mồi nhử được cho là một tuyên bố của Kim Yō-jong vào ngày 28 tháng 7, do KCNA đưa tin. Tệp .LNK này thả một tài liệu Word (file.doc) và khởi chạy một PowerShell loader bị làm rối mạnh thông qua tony33.bat và tony32.dat.

PowerShell loader này thực hiện giải mã kép một payload Base64 thành một binary được mã hóa XOR, lưu trữ trong tony31.dat. Sau khi được giải mã bằng khóa 0x37, payload thực thi trực tiếp trong bộ nhớ, tải xuống các thành phần bổ sung như abs.tmp từ bộ nhớ đám mây và duy trì truy cập qua các tác vụ đã lên lịch trước khi dọn dẹp các tệp dàn dựng.

Sử dụng Dịch vụ Đám mây công cộng cho C2

Trong suốt cả hai chiến dịch, APT-37 đã tận dụng các dịch vụ đám mây công cộng như Dropbox, pCloud và Yandex.Disk để lưu trữ các kênh C2 (Command and Control). Mã độc sử dụng các endpoint API hợp pháp để liệt kê, tải lên, tải xuống và xóa tệp, giúp trộn lẫn lưu lượng độc hại với các tương tác đám mây bình thường.

Cách tiếp cận lén lút này nhấn mạnh kỹ năng tinh vi và khả năng của nhóm trong việc lẩn tránh các kiểm soát bảo mật truyền thống. Nó cho thấy các cuộc tấn công mạng ngày càng phức tạp.

Biện pháp Phòng ngừa và Phát hiện Xâm nhập

Hoạt động HanKook Phantom là một minh họa rõ ràng về cách các tác nhân do nhà nước bảo trợ tiếp tục cải tiến các phương pháp spear-phishing, vũ khí hóa các định dạng tệp hàng ngày và áp dụng kỹ thuật thực thi fileless để duy trì quyền truy cập dài hạn vào các hệ thống mục tiêu. Để giảm thiểu rủi ro từ các chiến dịch tấn công mạng tương tự:

• Giám sát chủ động: Triển khai giám sát chủ động các mối đe dọa dựa trên tệp LNK.
• Tăng cường phát hiện thực thi trong bộ nhớ: Cải thiện khả năng phát hiện các mẫu thực thi mã trong bộ nhớ.
• Kiểm tra lưu lượng HTTP đi: Rà soát kỹ lưỡng các hoạt động tải lên HTTP đi để tìm các bất thường về loại tệp và tiêu đề MIME.
• Chia sẻ thông tin tình báo: Các tổ chức cần áp dụng các biện pháp phòng thủ đa lớp và chia sẻ thông tin tình báo về mối đe dọa để chống lại kho vũ khí đang phát triển của APT-37.

Chỉ số Nhận diện Sự Thỏa hiệp (IOCs)

Dưới đây là chỉ số nhận diện sự thỏa hiệp (IOCs) liên quan đến chiến dịch này:

• Tên tệp LNK độc hại:국가정보연구회 소식지(52호).pdf.LNK
• Tên tệp batch:aio03.bat, tony33.bat
• Tên tệp dữ liệu:aio0.dat, aio1.dat, aio2.dat, aio1+3.b+la+t, tony32.dat, tony31.dat, abs.tmp
• Máy chủ Command and Control (C2):daily.alltop.asia