Các tác nhân quốc gia liên kết với Bắc Triều Tiên đã được quan sát thấy sử dụng các cuộc tấn công lừa đảo để cung cấp một loạt các cửa hậu và các công cụ như AppleSeed, Meterpreter và TinyNuke để nắm quyền kiểm soát các máy bị xâm nhập.
Công ty an ninh mạng AhnLab có trụ sở tại Hàn Quốc cho rằng hoạt động này là do một nhóm mối đe dọa dai dẳng tiên tiến được gọi là Kimsuky.
"Một điểm đáng chú ý về các cuộc tấn công sử dụng AppleSeed là các phương pháp tấn công tương tự đã được sử dụng trong nhiều năm mà không có thay đổi đáng kể nào đối với phần mềm độc hại được sử dụng cùng nhau", Trung tâm Ứng phó Khẩn cấp Bảo mật AhnLab (ASEC) cho biết trong một phân tích được công bố hôm thứ Năm.
Kimsuky, hoạt động trong hơn một thập kỷ, được biết đến với việc nhắm mục tiêu vào một loạt các thực thể ở Hàn Quốc, trước khi mở rộng trọng tâm sang các khu vực địa lý khác vào năm 2017. Nó đã bị chính phủ Mỹ trừng phạt vào cuối tháng trước vì tích lũy thông tin tình báo để hỗ trợ các mục tiêu chiến lược của Triều Tiên.
Các chiến dịch gián điệp của tác nhân đe dọa được thực hiện thông qua các cuộc tấn công lừa đảo có chứa các tài liệu dụ dỗ độc hại, khi mở, lên đến đỉnh điểm trong việc triển khai các họ phần mềm độc hại khác nhau.
Một backdoor dựa trên Windows nổi bật như vậy được Kimsuky sử dụng là AppleSeed (hay còn gọi là JamBog), một phần mềm độc hại DLL đã được đưa vào sử dụng vào đầu tháng 5 năm 2019 và đã được cập nhật với phiên bản Android cũng như một biến thể mới được viết bằng Golang có tên là AlphaSeed.
AppleSeed được thiết kế để nhận hướng dẫn từ máy chủ do tác nhân điều khiển, thả tải trọng bổ sung và trích xuất dữ liệu nhạy cảm như tệp, tổ hợp phím và ảnh chụp màn hình. AlphaSeed, giống như AppleSeed, kết hợp các tính năng tương tự nhưng cũng có một số khác biệt quan trọng.
"AlphaSeed được phát triển ở Golang và sử dụng chromedp để liên lạc với máy chủ [ra lệnh và kiểm soát]", ASEC cho biết, trái ngược với AppleSeed, dựa trên các giao thức HTTP hoặc SMTP. Chromedp là một thư viện Golang phổ biến để tương tác với trình duyệt Google Chrome ở chế độ không đầu thông qua Giao thức DevTools.
Có bằng chứng cho thấy Kimsuky đã sử dụng AlphaSeed trong các cuộc tấn công kể từ tháng 10/2022, với một số vụ xâm nhập cung cấp cả AppleSeed và AlphaSeed trên cùng một hệ thống mục tiêu bằng trình nhỏ giọt JavaScript.
Cũng được triển khai bởi đối thủ là phần mềm độc hại Meterpreter và VNC như TightVNC và TinyNuke (hay còn gọi là Nuclear Bot), có thể được tận dụng để kiểm soát hệ thống bị ảnh hưởng.
Sự phát triển này diễn ra khi Nisos cho biết họ đã phát hiện ra một số nhân vật trực tuyến trên LinkedIn và GitHub có khả năng được sử dụng bởi các nhân viên công nghệ thông tin (CNTT) của Triều Tiên để lừa đảo có được việc làm từ xa từ các công ty ở Mỹ và hoạt động như một nguồn tạo doanh thu cho chế độ và giúp tài trợ cho các ưu tiên kinh tế và an ninh của nó.
"Các personas thường tuyên bố thành thạo trong việc phát triển một số loại ứng dụng khác nhau và có kinh nghiệm làm việc với các giao dịch tiền điện tử và blockchain", công ty tình báo mối đe dọa cho biết trong một báo cáo được công bố vào đầu tháng này.
"Hơn nữa, tất cả các personas đều tìm kiếm các vị trí chỉ từ xa trong lĩnh vực công nghệ và đặc biệt tập trung vào việc có được việc làm mới. Nhiều tài khoản chỉ hoạt động trong một khoảng thời gian ngắn trước khi chúng bị vô hiệu hóa."
Các hacker Triều Tiên, trong những năm gần đây, đã phát động một loạt các cuộc tấn công đa hướng, pha trộn các chiến thuật mới và điểm yếu của chuỗi cung ứng để nhắm mục tiêu vào các công ty blockchain và tiền điện tử để tạo điều kiện cho hành vi trộm cắp tài sản trí tuệ và tài sản ảo.