Tin tặc Triều Tiên tấn công qua facebook lây lan phần mềm độc hại

 

 Nhóm hack Kimsuky liên kết với Triều Tiên đã được quy cho một cuộc tấn công kỹ thuật xã hội mới sử dụng các tài khoản Facebook hư cấu để nhắm mục tiêu thông qua Messenger và cuối cùng là phát tán phần mềm độc hại.

Chiến dịch tấn công nhiều giai đoạn, mạo danh một cá nhân hợp pháp, được thiết kế để nhắm vào các nhà hoạt động trong lĩnh vực nhân quyền và chống Triều Tiên của Bắc Triều Tiên.

Cách tiếp cận này là một sự khởi đầu từ chiến lược lừa đảo dựa trên email điển hình ở chỗ nó tận dụng nền tảng truyền thông xã hội để tiếp cận các mục tiêu thông qua Facebook Messenger và lừa họ mở các tài liệu dường như riêng tư được viết bởi nhân vật.

Các tài liệu mồi nhử, được lưu trữ trên OneDrive, là một tài liệu Microsoft Common Console giả mạo dưới dạng một bài luận hoặc nội dung liên quan đến hội nghị thượng đỉnh ba bên giữa Nhật Bản, Hàn Quốc và Hoa Kỳ - "My_Essay(prof).msc" hoặc "NZZ_Interview_Kohei Yamamoto.msc" - với tài liệu sau được tải lên nền tảng VirusTotal vào ngày 5 tháng 4 năm 2024, từ Nhật Bản.

Điều này làm tăng khả năng chiến dịch có thể được định hướng nhắm mục tiêu đến những người cụ thể ở Nhật Bản và Hàn Quốc.

Việc sử dụng các tệp MSC để thực hiện cuộc tấn công là một dấu hiệu cho thấy Kimsuky đang sử dụng các loại tài liệu không phổ biến để bay dưới radar. Trong một nỗ lực hơn nữa để tăng khả năng thành công của sự lây nhiễm, tài liệu được ngụy trang dưới dạng một tệp Word vô hại bằng cách sử dụng biểu tượng của trình xử lý văn bản.

Nếu nạn nhân khởi chạy tệp MSC và đồng ý mở nó bằng Bảng điều khiển quản lý của Microsoft (MMC), họ sẽ được hiển thị màn hình bảng điều khiển có chứa tài liệu Word, khi được khởi chạy, sẽ kích hoạt chuỗi tấn công.

Điều này liên quan đến việc chạy một lệnh để thiết lập kết nối với máy chủ do đối thủ điều khiển ("brandwizer.co[.] in") để hiển thị tài liệu được lưu trữ trên Google Drive ("Tiểu luận về Nghị quyết Lao động Cưỡng bức Hàn Quốc Claims.docx"), trong khi các hướng dẫn bổ sung được thực hiện trong nền để thiết lập tính bền bỉ cũng như thu thập thông tin về pin và xử lý.

Thông tin thu thập được sau đó được trích xuất đến máy chủ chỉ huy và kiểm soát (C2), cũng có khả năng thu thập địa chỉ IP, chuỗi Tác nhân người dùng và thông tin dấu thời gian từ các yêu cầu HTTP và cung cấp các tải trọng có liên quan khi cần thiết.

Genians nói rằng một số chiến thuật, kỹ thuật và quy trình (TTP) được áp dụng trong chiến dịch trùng lặp với hoạt động Kimsuky trước đó phát tán phần mềm độc hại như ReconShark, được SentinelOne trình bày chi tiết vào tháng 5/2023.

Mới hơn Cũ hơn