Tin tặc Triều Tiên triển khai backdoor mới trong các cuộc tấn công mạng nhắm vào Hàn Quốc
Được biết, Kimsuky là một nhóm tin tặc được nhà nước bảo trợ có liên quan đến tình báo quân sự Triều Tiên - Tổng cục Trinh sát (RGB).
Vào đầu tháng 2/2024, các nhà nghiên cứu tại công ty tình báo mối đe dọa SW2 (Hàn Quốc) đã báo cáo về một chiến dịch tấn công mạng mà trong đó các tin tặc Kimsuky sử dụng phiên bản trojan hóa của nhiều giải pháp phần mềm khác nhau, ví dụ như TrustPKI và NX_PRNMAN từ SGA Solutions, Wizvera VeraPort, để lây nhiễm mã độc Troll Stealer (hay TrollAgent) và GoBear vào các mục tiêu tại Hàn Quốc.
Các nhà nghiên cứu tại hãng bảo mật Symantec (Mỹ) khi điều tra về chiến dịch tương tự nhắm vào các tổ chức chính phủ Hàn Quốc đã phát hiện ra một công cụ độc hại mới có vẻ là một biến thể Linux của backdoor GoBear.
Backdoor Gomir
Gomir có cấu trúc và nhiều điểm tương đồng với GoBear cũng như có khả năng giao tiếp với máy chủ điều khiển và ra lệnh (C2), cùng cơ chế duy trì và hỗ trợ thực thi nhiều loại lệnh khác nhau.
Sau khi cài đặt, backdoor sẽ kiểm tra giá trị ID group để xác định xem nó có đang thực thi với quyền root trên Linux hay không, sau đó sao chép chính nó vào tệp /var/log/syslogd để duy trì sự tồn tại lâu dài. Tiếp theo, phần mềm độc hại tạo ra một dịch vụ systemd có tên “syslogd” và đưa ra các lệnh khởi động dịch vụ trước khi xóa tệp thực thi và chấm dứt tiến trình ban đầu.
Ngoài ra, các tin tặc đã cố gắng cấu hình lệnh crontab để chạy khi khởi động lại hệ thống bằng cách tạo tệp cron[.]txt trong thư mục làm việc hiện tại. Nếu danh sách crontab được cập nhật thành công, tệp này cũng sẽ bị xóa.
Gomir hỗ trợ tới 17 thao tác, được kích hoạt sau khi nhận lệnh tương ứng từ C2 thông qua các yêu cầu HTTP POST, bao gồm:
- Tạm dừng liên lạc với máy chủ C2.
- Thực thi các lệnh shell tùy ý.
- Báo cáo thư mục làm việc hiện tại.
- Thay đổi thư mục làm việc.
- Thăm dò điểm cuối mạng.
- Chấm dứt tiến trình.
- Báo cáo tên đường dẫn thực thi.
- Thu thập số liệu thống kê về cây thư mục.
- Báo cáo chi tiết cấu hình hệ thống (tên máy chủ, tên người dùng, CPU, RAM, giao diện mạng).
- Cấu hình shell dự phòng để thực thi các lệnh.
- Cấu hình codepage để diễn giải đầu ra lệnh shell.
- Tạm dừng liên lạc cho đến một thời gian cụ thể.
- Trả lời “Not implemented on Linux!”.
- Bắt đầu reverse proxy cho các kết nối từ xa.
- Báo cáo điểm cuối kiểm soát cho reverse proxy.
- Tạo các tệp tin tùy ý trên hệ thống.
- Lọc các tệp tin từ hệ thống.
Theo các nhà nghiên cứu của Symantec, các lệnh trên gần như tương tự với các lệnh được hỗ trợ bởi backdoor GoBear Windows.
Dựa trên phân tích của chiến dịch, các nhà nghiên cứu nhận định rằng các cuộc tấn công chuỗi cung ứng (phần mềm, trình cài đặt trojan, trình cài đặt giả mạo) là phương thức tấn công ưa thích của các tác nhân gián điệp Triều Tiên.
Báo cáo của Symantec bao gồm một tập hợp các chỉ số về sự xâm phạm của nhiều công cụ độc hại được quan sát thấy trong chiến dịch, bao gồm Gomir, Troll Stealer và GoBear dropper.
Nguyễn Ngọc Nguyên
(Tổng hợp)