Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Triều Tiên Kimsuky đang triển khai nhiều chiến dịch tấn công mới nhắm vào các tổ chức quân sự, chính phủ và doanh nghiệp Hàn Quốc bằng cách giả mạo phần mềm bảo mật và nền tảng họp trực tuyến Webex.
Theo các nhà nghiên cứu bảo mật, tin tặc phát tán malware HTTPSpy thông qua các file cài đặt giả mạo như nProtect Online Security và AhnLab Safe Transaction. Sau khi nạn nhân tải xuống và thực thi, malware sẽ sử dụng “regsvr32.exe” để tải DLL độc hại, thiết lập cơ chế duy trì truy cập và kết nối tới máy chủ điều khiển để nhận thêm payload.
Kimsuky cũng tạo các trang Webex giả nhằm dụ nạn nhân cài “bản vá camera”, từ đó triển khai nhiều lớp malware khác nhau. Đáng chú ý, nạn nhân sau đó được chuyển hướng tới một phòng họp Webex thật, cho thấy tin tặc có thể đã đánh cắp lịch họp từ tài khoản hoặc thiết bị bị xâm nhập trước đó.
Ngoài HTTPSpy, Kaspersky còn phát hiện nhóm này sử dụng VS Code Remote Tunnels, Cloudflare Quick Tunnels và DWAgent để duy trì truy cập từ xa mà không cần hạ tầng C2 truyền thống. Điều này giúp lưu lượng độc hại ẩn trong các dịch vụ hợp pháp của Microsoft và Cloudflare, khiến việc phát hiện trở nên khó khăn hơn.
Kimsuky đồng thời mở rộng kho công cụ với nhiều malware mới như HelloDoor, HttpMalice và AppleSeed. Trong đó, HelloDoor được viết bằng Rust và được cho là có dấu hiệu phát triển với sự hỗ trợ từ AI hoặc các mô hình ngôn ngữ lớn (LLM).
Các chuyên gia nhận định Kimsuky đang chuyển dần sang mô hình gián điệp mạng tinh vi hơn, kết hợp social engineering, cloud tunnel hợp pháp và malware đa tầng để tăng khả năng ẩn mình và duy trì truy cập dài hạn trong hệ thống mục tiêu.
Theo các nhà nghiên cứu bảo mật, tin tặc phát tán malware HTTPSpy thông qua các file cài đặt giả mạo như nProtect Online Security và AhnLab Safe Transaction. Sau khi nạn nhân tải xuống và thực thi, malware sẽ sử dụng “regsvr32.exe” để tải DLL độc hại, thiết lập cơ chế duy trì truy cập và kết nối tới máy chủ điều khiển để nhận thêm payload.
Kimsuky cũng tạo các trang Webex giả nhằm dụ nạn nhân cài “bản vá camera”, từ đó triển khai nhiều lớp malware khác nhau. Đáng chú ý, nạn nhân sau đó được chuyển hướng tới một phòng họp Webex thật, cho thấy tin tặc có thể đã đánh cắp lịch họp từ tài khoản hoặc thiết bị bị xâm nhập trước đó.
Ngoài HTTPSpy, Kaspersky còn phát hiện nhóm này sử dụng VS Code Remote Tunnels, Cloudflare Quick Tunnels và DWAgent để duy trì truy cập từ xa mà không cần hạ tầng C2 truyền thống. Điều này giúp lưu lượng độc hại ẩn trong các dịch vụ hợp pháp của Microsoft và Cloudflare, khiến việc phát hiện trở nên khó khăn hơn.
Kimsuky đồng thời mở rộng kho công cụ với nhiều malware mới như HelloDoor, HttpMalice và AppleSeed. Trong đó, HelloDoor được viết bằng Rust và được cho là có dấu hiệu phát triển với sự hỗ trợ từ AI hoặc các mô hình ngôn ngữ lớn (LLM).
Các chuyên gia nhận định Kimsuky đang chuyển dần sang mô hình gián điệp mạng tinh vi hơn, kết hợp social engineering, cloud tunnel hợp pháp và malware đa tầng để tăng khả năng ẩn mình và duy trì truy cập dài hạn trong hệ thống mục tiêu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
