Nhóm APT Kimsuky APT, được biết đến là nhóm đe dọa mạng được Triều Tiên bảo trợ, gần đây đã nâng cấp chiến thuật tấn công mạng của mình. Theo phân tích từ Trung tâm Tình báo Mối đe dọa TALON của S2W, nhóm này đang sử dụng các kho lưu trữ GitHub để phát tán mã độc thông qua các tệp LNK được vũ khí hóa tinh vi. Chiến dịch mới nhất này cho thấy sự phát triển trong cách tiếp cận của Kimsuky, tận dụng các nền tảng đáng tin cậy để vượt qua các biện pháp bảo mật và thiết lập quyền truy cập liên tục vào hệ thống của nạn nhân.

Kimsuky APT Khai Thác GitHub và Chuỗi Tấn Công

Khai Thác Ban Đầu qua Tệp LNK

Chuỗi tấn công bắt đầu bằng một tệp lưu trữ ZIP độc hại có tên “NTS_Attach.zip”. Tệp này chứa một tệp LNK đã được vũ khí hóa, được ngụy trang thành một hóa đơn thuế điện tử PDF. Khi người dùng thực thi tệp tắt “전자세금계산서.pdf.lnk”, một lệnh PowerShell sẽ được kích hoạt. Lệnh này có nhiệm vụ tải xuống và thực thi các script độc hại bổ sung từ các kho lưu trữ GitHub do kẻ tấn công kiểm soát.

Sử Dụng GitHub Private Tokens

Các tác nhân đe dọa của Kimsuky APT đã nhúng trực tiếp các GitHub Private Tokens vào các script của chúng để truy cập các kho lưu trữ riêng tư. Điều này thể hiện sự hiểu biết sâu sắc về cơ sở hạ tầng API của GitHub và khả năng khai thác GitHub một cách tinh vi. Payload chính, main.ps1, kết nối với kho lưu trữ hxxps://github[.]com/God0808RAMA/group_0721/ để tải xuống cả tài liệu mồi nhử và các thành phần độc hại khác.

Script sử dụng các kỹ thuật quản lý tệp động, thay thế các chuỗi giữ chỗ bằng các giá trị được đánh dấu thời gian để tạo ra các định danh duy nhất cho mỗi lần lây nhiễm. Điều này cho phép kẻ tấn công theo dõi và quản lý nhiều hệ thống bị xâm nhập thông qua cơ sở hạ tầng GitHub của chúng.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence) và Thu Thập Thông Tin

Thiết Lập Persistence Bền Vững

Chiến dịch mới nhất của Kimsuky APT thiết lập quyền duy trì truy cập thông qua một cơ chế tác vụ định kỳ phức tạp. Mã độc tạo tệp MicrosoftEdgeUpdate.ps1 trong thư mục %AppData% của nạn nhân. Sau đó, nó thiết lập một tác vụ định kỳ có tên “BitLocker MDM policy Refresh{DBHDFE12-496SDF-Q48D-SDEF-1865BCAD7E00}”. Tác vụ này được cấu hình để thực thi mỗi 30 phút, đảm bảo kết nối liên tục với cơ sở hạ tầng C2 trong khi ngụy trang thành hoạt động bảo trì hệ thống hợp pháp.

Thành Phần Thu Thập Thông Tin (Info-Stealer)

Thành phần thu thập thông tin, được triển khai dưới dạng tệp temporary.ps1, thu thập thông tin hệ thống toàn diện. Các dữ liệu bao gồm địa chỉ IP, thời gian khởi động, chi tiết hệ điều hành, thông số kỹ thuật phần cứng và các tiến trình đang chạy. Tất cả dữ liệu thu thập được sắp xếp có hệ thống và tải lên các thư mục được đánh dấu thời gian trong các kho lưu trữ GitHub của kẻ tấn công. Điều này tạo ra một hệ thống thu thập tình báo có tổ chức, phục vụ cho các mối đe dọa mạng.

Phân Tích Chuyên Sâu Kho Lưu Trữ GitHub

Phát Hiện Tokens và Repositories

Các nhà điều tra đã phân tích các GitHub Private Tokens được nhúng và phát hiện chín kho lưu trữ riêng tư liên quan đến chiến dịch này. Chúng bao gồm group_0717, group_0721, test, hometax, group_0803, group_0805, group_0811, fsc_doc và repayment. Các kho lưu trữ này chứa nhật ký hệ thống bị đánh cắp, tài liệu mồi nhử và các tệp được thiết kế để trông giống như các thông tin liên lạc kinh doanh hợp pháp, chẳng hạn như nhắc nhở thanh toán và báo cáo kiểm toán.

Thông Tin Liên Quan Đến Kẻ Tấn Công và Mục Tiêu Mở Rộng

Phân tích lịch sử commit tiết lộ địa chỉ email của kẻ tấn công là sahiwalsuzuki4[@]gmail.com, được sử dụng trong quá trình tạo tài khoản GitHub. Đáng chú ý, nhật ký thử nghiệm trong các kho lưu trữ cho thấy bằng chứng về các công cụ quản trị từ xa, bao gồm “xeno_rat_server” và các tiến trình giám sát clipboard. Điều này cho thấy mục tiêu rộng hơn của chiến dịch Kimsuky APT không chỉ dừng lại ở việc trinh sát ban đầu.

Chiến dịch này đại diện cho một sự tiến hóa đáng kể trong chiến thuật của các nhóm APT, chứng minh cách các tác nhân đe dọa có thể vũ khí hóa các nền tảng phát triển hợp pháp cho các mục đích độc hại. Việc lạm dụng cơ sở hạ tầng của GitHub cung cấp cho kẻ tấn công khả năng lưu trữ đáng tin cậy, liên lạc được mã hóa và khả năng trộn lẫn lưu lượng độc hại với các hoạt động phát triển hợp pháp.

Các tổ chức đang đối mặt với những thách thức ngày càng tăng trong việc phát hiện xâm nhập các hoạt động như vậy do tính chất đáng tin cậy của các tên miền GitHub và bản chất được mã hóa của các giao tiếp API. Việc sử dụng quản lý tệp được đánh dấu thời gian và cập nhật script động cho phép kẻ tấn công duy trì bảo mật hoạt động trong khi mở rộng quy mô hoạt động trên nhiều mục tiêu. Cách tiếp cận này cho phép điều chỉnh payload mã độc và chiến lược thu thập dữ liệu theo thời gian thực dựa trên môi trường nạn nhân và phản ứng phòng thủ.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

• Kho lưu trữ GitHub độc hại:
  • hxxps://github[.]com/God0808RAMA/group_0721/
  • Các kho lưu trữ riêng tư liên quan:group_0717, group_0721, test, hometax, group_0803, group_0805, group_0811, fsc_doc, repayment
• Tên tệp độc hại:
  • NTS_Attach.zip
  • 전자세금계산서.pdf.lnk
  • main.ps1
  • MicrosoftEdgeUpdate.ps1
  • temporary.ps1
• Tác vụ định kỳ độc hại:
  • Tên tác vụ: BitLocker MDM policy Refresh{DBHDFE12-496SDF-Q48D-SDEF-1865BCAD7E00}
• Email kẻ tấn công:sahiwalsuzuki4[@]gmail.com
• Công cụ quản trị từ xa:xeno_rat_server

Để biết thêm chi tiết về phân tích này, bạn có thể tham khảo báo cáo gốc từ S2W tại S2W’s Threat Intelligence Center.

Khuyến Nghị Nâng Cao Bảo Mật và Phát Hiện

Giám Sát Lưu Lượng API GitHub

Các nhóm bảo mật cần triển khai giám sát toàn diện lưu lượng API GitHub, đặc biệt là các yêu cầu PUT tới các điểm cuối /repos/*/contents/. Những yêu cầu này có thể là dấu hiệu của các hoạt động rò rỉ dữ liệu.

Theo Dõi Tác Vụ Định Kỳ

Các tổ chức nên thiết lập giám sát cơ sở cho việc tạo tác vụ định kỳ, đặc biệt là những tác vụ có tên đáng ngờ hoặc các mẫu thực thi không nhất quán. Điều này giúp phát hiện xâm nhập các cơ chế duy trì quyền truy cập của mã độc.

Tăng Cường Ghi Nhật Ký PowerShell

Kích hoạt ghi nhật ký PowerShell nâng cao và ghi nhật ký khối script trên toàn bộ môi trường doanh nghiệp. Điều này giúp phát hiện các mẫu thực thi script đáng ngờ.

Kiểm Soát An Ninh Mạng

Các biện pháp kiểm soát an ninh mạng nên kiểm tra kỹ lưỡng lưu lượng truy cập tới api.github.com. Đồng thời, triển khai phân tích hành vi để xác định các mẫu truy cập kho lưu trữ bất thường có thể chỉ ra sự xâm nhập. Đây là yếu tố then chốt để củng cố bảo mật thông tin của tổ chức.

Đào Tạo Nhận Thức Về Bảo Mật

Đào tạo nhận thức về bảo mật thường xuyên, tập trung vào các rủi ro của tệp LNK và các chiến thuật kỹ thuật xã hội, vẫn đóng vai trò quan trọng. Các vectơ truy cập ban đầu vẫn thường dựa vào tương tác của người dùng với các tài liệu và tệp đính kèm có vẻ hợp pháp.