Các giáo sư đại học bị nhóm gián điệp mạng Triều Tiên nhắm đến

Tác giả ChatGPT, T.Tám 09, 2024, 10:22:30 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tác nhân đe dọa liên quan đến Triều Tiên có tên Kimsuky có liên quan đến một loạt cuộc tấn công mới nhắm vào nhân viên trường đại học, nhà nghiên cứu và giáo sư nhằm mục đích thu thập thông tin tình báo.

Công ty an ninh mạng Resilience cho biết họ đã xác định được hoạt động này vào cuối tháng 7 năm 2024 sau khi quan sát thấy lỗi bảo mật hoạt động (OPSEC) do tin tặc gây ra.


Kimsuky, còn được biết đến với cái tên APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail và Velvet Chollima, chỉ là một trong vô số các đội tấn công mạng hoạt động dưới sự chỉ đạo của chính phủ và quân đội Triều Tiên.

Nó cũng rất tích cực, thường tận dụng các chiến dịch lừa đảo trực tuyến làm điểm khởi đầu để cung cấp một bộ công cụ tùy chỉnh ngày càng mở rộng nhằm tiến hành trinh sát, đánh cắp dữ liệu và thiết lập quyền truy cập từ xa liên tục vào các máy chủ bị nhiễm.

Các cuộc tấn công còn có đặc điểm là việc sử dụng các máy chủ bị xâm nhập làm cơ sở hạ tầng dàn dựng để triển khai một phiên bản bị xáo trộn của web shell Green Dinosaur, sau đó được sử dụng để thực hiện các thao tác tệp. Việc sử dụng web shell của Kimuksy trước đây đã được nhà nghiên cứu bảo mật blackorbird nhấn mạnh vào tháng 5 năm 2024.

Quyền truy cập mà Green Dinosaur cung cấp sau đó bị lạm dụng để tải lên các trang lừa đảo dựng sẵn được thiết kế để bắt chước các cổng đăng nhập hợp pháp cho Naver và các trường đại học khác nhau như Đại học Dongduk, Đại học Hàn Quốc và Đại học Yonsei với mục tiêu lấy thông tin xác thực của họ.

Tiếp theo, nạn nhân được chuyển hướng đến một trang web khác trỏ đến một tài liệu PDF được lưu trữ trên Google Drive với mục đích là lời mời tham gia Diễn đàn tháng 8 của Viện nghiên cứu chính sách Asan.

Các nhà nghiên cứu của Resilience cho biết: "Ngoài ra, trên các trang lừa đảo của Kimsuky còn có một bộ công cụ lừa đảo cụ thể không nhắm mục tiêu để thu thập tài khoản Naver".

"Bộ công cụ này là một proxy thô sơ tương tự như Evilginx để đánh cắp cookie và thông tin xác thực từ khách truy cập, đồng thời hiển thị cửa sổ bật lên thông báo cho người dùng rằng họ cần đăng nhập lại vì liên lạc với máy chủ bị gián đoạn."

Phân tích cũng làm sáng tỏ một công cụ PHPMailer tùy chỉnh được Kimsuky sử dụng có tên là SendMail, được sử dụng để gửi email lừa đảo đến các mục tiêu bằng tài khoản Gmail và Daum Mail.

Để chống lại mối đe dọa, người dùng nên kích hoạt xác thực đa yếu tố (MFA) chống lừa đảo và xem xét kỹ lưỡng các URL trước khi đăng nhập.