Hacker Kimsuky dùng công cụ trinh sát mới để tìm lỗ hổng bảo mật

Nhóm tin tặc Kimsuky của Bắc Triều Tiên đã bị phát hiện sử dụng một phiên bản mới của phần mềm độc hại do thám, hiện được gọi là 'ReconShark', trong một chiến dịch gián điệp mạng với phạm vi toàn cầu.

Sentinel Labs báo cáo rằng tác nhân đe dọa đã mở rộng phạm vi nhắm mục tiêu của nó, hiện nhắm mục tiêu vào các tổ chức chính phủ, trung tâm nghiên cứu, trường đại học và viện nghiên cứu chính sách ở Hoa Kỳ, Châu Âu và Châu Á.

Vào tháng 3 năm 2023, chính quyền Hàn Quốc và Đức  đã cảnh báo  rằng Kimsuky, còn được gọi là Thallium và Velvet Chollima, bắt đầu phát tán các tiện ích mở rộng Chrome độc ​​hại nhắm mục tiêu vào tài khoản Gmail và phần mềm gián điệp Android đóng vai trò là trojan truy cập từ xa.

Trước đó, vào tháng 8 năm 2022, Kaspersky đã tiết lộ một chiến dịch Kimsuky khác nhắm mục tiêu vào các chính trị gia, nhà ngoại giao, giáo sư đại học và nhà báo ở Hàn Quốc bằng cách sử dụng sơ đồ xác thực mục tiêu nhiều giai đoạn nhằm đảm bảo chỉ những mục tiêu hợp lệ mới   bị nhiễm payload độc hại.

Tấn công lừa đảo

Kimsuky tận dụng các email lừa đảo được cá nhân hóa và chế tạo tốt để lây nhiễm phần mềm độc hại ReconShark cho các mục tiêu của mình, một chiến thuật đã thấy trong tất cả các chiến dịch trước đây của nhóm đe dọa.

Những email này chứa liên kết đến tài liệu độc hại được bảo vệ bằng mật khẩu được lưu trữ trên Microsoft OneDrive để giảm thiểu khả năng đưa ra bất kỳ cảnh báo nào trên các công cụ bảo mật email.

Khi mục tiêu mở tài liệu đã tải xuống và bật macro theo hướng dẫn, phần mềm độc hại ReconShark được nhúng sẽ được kích hoạt.

Tài liệu độc hại được sử dụng trong cuộc tấn công Kimsuky 

Sau khi Microsoft tắt macro theo mặc định trên các tài liệu Office đã tải xuống, hầu hết các tác nhân đe dọa đã chuyển sang các loại tệp mới cho các cuộc tấn công lừa đảo, chẳng hạn như tệp ISO và gần đây hơn là  tài liệu OneNote .

Tom Hegel, Nhà nghiên cứu mối đe dọa cấp cao tại SentinelLabs, nói với BleepingComputer: “Những kẻ tấn công có thể đang tìm kiếm chiến thắng dễ dàng trước các phiên bản Office lỗi thời hoặc đơn giản là người dùng bật macro”.

"Kimsuky không quá đổi mới ở đây -- đặc biệt là khi họ vẫn đang phát triển dòng phần mềm độc hại BabyShark."

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.