Chủ đề

Phát hiện mã độc NOKKI mới liên quan đến tin tặc Triều Tiên

(Quốc tế) - Trong thế giới gián điệp mạng, một loại mã độc mới bị phát hiện có kết nối với công cụ và chiến dịch của nhóm tin tặc ít được biết đến Reaper, và đây được tin là hành động của Chính phủ Triều Tiên. 

Những phát hiện mới nhất cho thấy, trojan RAT thuộc họ mã độc KONNI và DOGCALL là tác phẩm của cùng một nhóm tin tặc, với nhiệm vụ do thám các tổ chức trong ngành quân sự và quốc phòng ở Hàn Quốc, một cơ sở ở Trung Đông đang giao thương với Triều Tiên và nhiều nạn nhân có động cơ chính trị ở khu vực Á Âu.

Triều Tiên là căn cứ chung của KONNI và NOKKI RAT

Các chuyên gia an ninh thuộc Đơn vị 42 của hãng bảo mật Palo Alto Networks (Mỹ) vừa công bố bài phân tích về một mã độc RAT mới, được đặt tên là NOKKI vì sự trùng lặp code đáng kể của nó với loại mã độc tương tự là KONNI, từng được hãng bảo mật Cisco Talos (Mỹ) phát hiện.

Trong bài phân tích NOKKI, các chuyên gia phát hiện cuộc tấn công mới đây nhất sử dụng mã độc này bắt đầu từ tháng 9, và dựa vào tài liệu Microsoft Word độc để lừa nạn nhân.1-41313-1494812411461

Đây là phương thức khá phổ biến, tuy nhiên kỹ thuật tránh né công cụ phát hiện mã độc lại khá đặc biệt, trong đó “đầu tiên, nó chuyển đổi văn bản được mã hóa bằng chương trình base64 sang chuỗi hex, và sau đó lại chuyển đổi mã hóa hex thành một chuỗi text”, báo cáo giải thích.

Cách thức qua mặt công cụ dò mã độc đặc biệt này đã được nói đến trong một tài liệu về mã độc khác trong ngân hàng mã độc của Đơn vị 42, với ngày khởi tạo là 19/03 và sửa đổi mới nhất vào ngày 16/06.

Tên của tài liệu là ‘World Cup predictions.doc’ và mã macro bên trong nó cũng chạy chương trình đảo ngược để phát tán payload tương tự như trong macro thả mã độc NOKKI RAT.

Đơn vị 42 phát hiện, mẫu macro độc mới này tải về và thực thi một lệnh VBScript, với 2 văn bản (text) giúp nối đến tài liệu Microsoft gửi tới nạn nhân gồm 1 bài báo trên trang ESPN về dự đoán giải bóng đá World Cup, và 1 phần từ bài báo về chuyến viếng thăm của Lãnh đạo Tối cao đến Singapore.

Nếu nạn nhân dính bẫy, mở tài liệu và khiến cho mã macro được kích hoạt, họ có thể đọc 1 trong 2 văn bản vì nó là dạng tài liệu bình thường, trong khi đó, mã độc DOGCALL RAT tiến hành tải về và cài đặt vào máy nạn nhân.

Công cụ thả (dropper) mới cho RAT cũ

Nếu như NOKKI và KONNI trước đây chưa bị quy kết cho Triều Tiên, thì DOGCALL đã được liên hệ đến hoạt động mạng của nhà nước Bình Nhưỡng, cụ thể hơn là nhóm gián điệp Reaper, còn được biết đến với nhiều cái tên như: APT37, Group123, FreeMilk, StarCruft, Operation Daybreak và Operation Erebus.

Khi phân tích chu trình tải và đảo ngược mà macro sử dụng trong tài liệu ‘World Cup predictions’, các chuyên gia cũng lưu ý một dropper độc chưa từng được báo cáo trước đây, được họ đặt tên là Final1stspy.

Trình tải cuối của Final1stspy là payload thuộc họ mã độc DOGCALL, với khả năng chụp ảnh màn hình, theo dõi tổ hợp bàn phím, trích xuất tài liệu, tải về và thực thi các payload khác hay lấy đoạn thu âm qua microphone máy tính.

Nghiên cứu của Đơn vị 42 đã góp thêm nhiều mảnh ghép mới vào câu đố về những chiến dịch gián điệp mạng của Triều Tiên và cho thấy, ngay cả tin tặc do nhà nước bảo trợ cũng mắc sai lầm dẫn đến việc tự công khai tác giả đằng sau mã độc, hoặc ít nhất cũng giúp các chuyên gia gán chúng cho một nhóm tin tặc tương đồng.

Bằng cách sử dụng thông tin đã biết về những công cụ từng bị quy kết cho các tổ chức gián điệp mạng của Cộng hòa Dân chủ Nhân dân Triều Tiên, các chuyên gia bảo mật vừa xây dựng một cây phả hệ mã độc, cho thấy sự kết nối giữa nhiều chiến dịch khác nhau từ năm 2009 đến năm 2017, trong đó có một vài chiến dịch vẫn chưa bị quy kết có liên quan đến Triều Tiên.

Hồng Anh (Lược dịch từ Bleeping Computer)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: